Palo Alto Networks Hedefinde Artan Tehditler
Son günlerde siber güvenlik alanında önemli gelişmeler yaşanıyor. Güvenlik araştırma firması GreyNoise, Palo Alto Networks’ün giriş portallarını hedef alan tarama aktivitelerinde ciddi bir artış gözlemlediğini duyurdu. 3 Ekim 2025 tarihinde kaydedilen bu artış, son üç ay içinde görülen en yüksek seviye olarak dikkat çekiyor. Özellikle, Palo Alto Networks login portallarını tarayan IP adreslerinde yaklaşık %500’lük bir artış yaşandı.
Tarama Faaliyetlerinin Detayları
GreyNoise, bu süreçte toplamda 1,300’den fazla benzersiz IP adresinin bu taramalara katıldığını belirtti. Önceki dönemde yalnızca 200 kadar benzersiz IP adresi aktifken, bu sayının büyük bir sıçrayışla artması dikkat çekiyor. Tarama faaliyetleri oldukça hedefli ve yapılandırılmış olarak tanımlanıyor. Bu IP adreslerinin %93’ü şüpheli, %7’si ise kötü niyetli olarak sınıflandırıldı.
Gözlemler sonuçlandığında, IP adreslerinin çoğunluğunun ABD‘ye yerleştirildiği, Birleşik Krallık, Hollanda, Kanada ve Rusya‘dan ise daha küçük kümelerle tarama faaliyetlerine katıldığı tespit edildi. Bu durum, siber saldırganların örgütlü bir şekilde hareket ettiğini gösteriyor.
Gözlemlenen Ortaklıklar ve Önceki Uyarılar
GreyNoise, Palo Alto Networks’deki bu artışın, son 48 saatte Cisco ASA tarama faaliyetleriyle benzer özellikler taşıdığını vurguladı. Her iki durumda da tarayıcıların, kullanılan araçların parmak izlerinde ortaklığın görüldüğü bir yapıya sahip olduğu ortaya kondu. Ayrıca, her iki sistem için de Hollanda merkezli bir TLS parmak izi tespit edildi.
Nisan 2025’te GreyNoise, Palo Alto Networks’ün PAN-OS GlobalProtect geçitlerine yönelik benzer tarama faaliyetlerini rapor etmişti. Bu durum, şirketin, kullanıcıların yazılımın en son sürümlerini çalıştırmaları konusunda uyarıda bulunmasını sağladı.
Siber Tehditlerin Önemi ve Yenilikler
GreyNoise, Temmuz 2025’te yayımladığı Erken Uyarı Raporu‘nda, kötü niyetli tarama, brute-forcing veya istismar girişimlerinden sonra genellikle aynı teknolojiye dair yeni bir CVE’nin açıklanmasının altı hafta içinde gerçekleştiğini vurguladı. Bu uyarı, siber güvenlik alanında sürekli değişen tehdit ortamına dikkat çekiyor.
Eylül ayı başlarında, GreyNoise, Cisco Adaptive Security Appliance (ASA) cihazlarını hedef alan şüpheli taramalara dair uyarılarda bulundu. İlk dalga, çoğunluğu Brezilya, Arjantin ve ABD‘de bulunan 25,100’den fazla IP adresinden geldi. Daha sonra, Cisco, gerçek dünya saldırılarında kullanılmak üzere istismar edilen iki adet sıfır gün açığı olan CVE-2025-20333 ve CVE-2025-20362‘yi duyurdu. Bu durum, RayInitiator ve LINE VIPER gibi zararlı yazılım ailelerinin dağıtılmasına yol açtı.
Cisco ASA ve Palo Alto Networks için Tehdit Durumu
Shadowserver Foundation’dan alınan veriler, ABD ve Avrupa’da yer alan 45,000’den fazla Cisco ASA/FTD örneğinin hala bu iki güvenlik açığına karşı hassas olduğunu gösteriyor. Özellikle, ABD’deki 20,000’den fazla ve Avrupa’daki 14,000’e yakın örnek, potansiyel saldırılara karşı savunmasız durumda.
Siber güvenlik alanında artan bu tür tehditler, yapıların güvenliği açısından kritik bir uyarı işlevi görüyor. Güvenlik uzmanları, bu tür etkinliklerin takibini sürdürebilmek ve yeni zafiyetlerin ortaya çıkmasını önlemek için sürekli bir gözlem ve güncelleme politikası yürütmelidir.
Sonuç Olarak
Güvenlik önlemlerinin güçlendirilmesi ve güncel kalması, siber tehditlere karşı daha sağlam bir savunma oluştururken, kullanıcı verilerinin ve ağa bağlı cihazların korunmasında da büyük önem taşır. Gelecekteki siber saldırılara karşı hazırlıklı olmak için, hem bireysel hem de kurumsal seviyelerde sürekli bir eğitim ve farkındalık sağlanmalıdır. Bu sayede, potansiyel riskler minimize edilebilir ve zararlı yazılımların yayılımı önlenebilir.
