Почти 24 тысячи уникальных IP-адресов методично исследовали интерфейсы управления продукта Palo Alto Networks, пытаясь найти слабые места в защите. Организациям, которые полагаются на этот сервис для безопасного удаленного доступа, стоит проявить особую бдительность, пишут в Securitylab.
Сканирование началось 17 марта, достигло пика активности через несколько дней и пошло на спад к 26 марта. Злоумышленники используют автоматизированные инструменты, которые последовательно проверяют каждый потенциально доступный порт и службу, составляя детальную карту уязвимых точек входа. Согласованность их действий явно указывает на подготовку к серьезным атакам.
За последние полтора-два года аналитики GreyNoise заметили закономерность: после массового сканирования определенной технологии регулярно обнаруживались новые уязвимости в её защите. По мнению вице-президента GreyNoise по анализу данных, Боба Рудиса, часто это означает, что хакеры уже нашли слабое место и готовятся к марш-броску. Либо они каким-то образом узнали о существовании уязвимости, которая вот-вот станет публично известной, и заранее наводят прицел. Да и опыт показывает, что столь активный интерес к конкретному продукту обычно приводит к серьезным последствиям уже через 2-4 недели.
GlobalProtect – ключевой продукт компании Palo Alto Networks, одного из крупнейших мировых производителей средств сетевой защиты. Сервис обеспечивает безопасный удаленный доступ для тысяч организаций, включая банки, промышленные предприятия и государственные учреждения. Через центральный портал управления администраторы настраивают параметры VPN-туннелей, распространяют программное обеспечение и обмениваются данными с конечными точками. При этом сам портал должен быть доступен из интернета, и неудивительно, что преступникам он представляется привлекательной мишенью.
Пограничные устройства – межсетевые экраны, VPN-концентраторы и маршрутизаторы – контролируют весь трафик между внутренней сетью организации и интернетом. Успешная атака на физическое оборудование открывает прямой путь к защищенным ресурсам компании: базам данных, внутренним серверам и рабочим станциям сотрудников и, в конце концов, корпоративной тайне.