Cisco, Fortinet, Palo Alto Networks Devices Targeted in Coordinated Campaign
2025/10/10 securityweek — Cisco と Palo Alto Networks のファイアウォール、および、 Fortinet の VPN を標的とする3件の攻撃キャンペーンが、同一サブネット上の IP アドレスから発信されていることを、GreyNoise が発見した。同社の調査結果により判明したのは、Secure Firewall ASA /Secure FTD デバイスを標的とするスキャン攻撃については、Cisco が2件のゼロデイ脆弱性を公表する約3週間前の9月初旬に、警告が発せられていたことだ。
これらの脆弱性 CVE-2025-20333 (CVSS 9.9)/CVE-2025-20362 (CVSS 6.5) は、中国を拠点とするハッカー集団による、ArcaneDoor スパイ活動に関連する攻撃で悪用された。さらに GreyNoise は、Palo Alto Networks GlobalProtect ログイン・ポータルに関連するスキャン活動が急増し、関与するユニーク ASN の数も急増していると警告している。
GreyNoise が確認したのは、約1,300 の IP アドレスを起源とするスキャン活動が、2日間で 500% も急増したことだ。わずか数日の間に、関与するユニーク IP の数は 2,200 に急増しており、より多くの脅威アクターが、この活動に加わった可能性が示唆される。
この1週間で GreyNoise は、Palo Alto Networks のファイアウォールを標的とする、130万件以上のユニークなログイン試行を観測しており、このキャンペーンで使用された認証情報のリストを公開している。
10月9日 (木) に GreyNoise は、Cisco と Palo Alto のファイアウォールを標的とするスキャン攻撃が、同一サブネット上の IP アドレスから発信されており、Fortinet の VPN を標的としたブルートフォース攻撃とも関連する可能性があると警告した。
GreyNoise は、「Fortinet VPN へのブルートフォース攻撃が急増している。このようなケースでは、6週間以内に Fortinet VPN の脆弱性が公表されることが多々ある。こうした状況を踏まえて、Fortinet SSL VPN へのブルートフォース攻撃を行っている全 IP のブロックと、ファイアウォール/VPN アプライアンスの防御強化の検討が推奨される」と述べている。
実際のところ、GreyNoise によると、既知ベンダーのファイアウォールおよび VPN 製品を標的とする攻撃の約 80% においては、これらの製品における新たな脆弱性が、6週間以内に公表される可能性が高いという。したがって、スキャン活動の増加は、新たな脆弱性に対する早期警告となる。
Cisco/Fortinet/Palo Alto のデバイスを標的とする3件の攻撃キャンペーンでは、TCP フィンガープリントが共有され、同一のサブネットが利用され、同時期に活動が活発化している。
GreyNoise は、「これらの3つのキャンペーンは、少なくとも部分的には同一の脅威アクターにより展開されていると、高い確度で判断している」と述べている。さらに同社は、Fortinet の攻撃キャンペーンで使用された認証情報のリストも公開している。
Cisco/Palo Alto/Fortinet の製品を狙う一連の攻撃で、共通の TCP フィンガープリントや同一サブネット発信などが発見されているようです。スキャン急増が新たな脆弱性の兆候になり得るとの分析も示されており、今後の攻撃が懸念されるところです。ご利用のチームは、ご注意ください。よろしければ、ArcaneDoor で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.