Palo Alto Networks GlobalProtect VPN giriş portallarına yönelik kötü niyetli tarama faaliyetleri son günlerde ciddi bir artış gösterdi. Bu artış, bir koordineli kampanyanın varlığına işaret ediyor. GreyNoise adlı gerçek zamanlı istihbarat şirketi, bu faaliyetlerin 14 Kasım 2025 tarihinde başladığını ve bir hafta içinde son 90 günün en yüksek seviyesine ulaştığını bildiriyor.
GreyNoise’un yayınladığı raporda, “Palo Alto Networks GlobalProtect portallarına yönelik kötü niyetli etkinlikte önemli bir artış tespit edilmiştir,” ifadelerine yer verilmiştir. Bu kapsamda, 14-19 Kasım tarihleri arasında 2.3 milyon oturum, Palo Alto PAN-OS ve GlobalProtect üzerindeki */global-protect/login.esp URL’sine yönlendirilmiştir.
Kötü Niyetli Tarama Faaliyetleri ve Taramaların Artışı
Bu tür tarama faaliyetlerinin büyüklüğü, son 90 gün içinde yaşanan en büyük artış olup, 24 saatte 40 katlık bir patlama yaşandığı düşünülüyor. Özellikle, bu tür taramaların çoğu, Amerika Birleşik Devletleri, Meksika ve Pakistan gibi ülkeleri hedef alıyor. GreyNoise’un açıklamalarına göre, IP adreslerinin %91’i “şüpheli” olarak sınıflandırılırken, %7’si ise açık bir şekilde kötü niyetli olarak nitelendirilmiştir.
Palo Alto Networks ürünlerine yönelik bu izleme faaliyetleri, önceden belirtilen güvenlik boşluklarının açıklanmasını bekleyen kötü niyetli grupların stratejileriyle doğrudan ilişkili olabilir. Genel olarak, bu tür taramaların %80’inin, yeni güvenlik açıklarının açıklanmasından önce gerçekleştiği gözlemlenmiştir.
IP Adresleri ve Kötü Niyetli ASN’ler
Son raporlara göre, bu saldırılarda kullanılan ana ASN (Otonom Sistem Numarası) AS200373 (3xK Tech GmbH) olarak belirlenmiştir. Saldırılara karışan IP’lerin %62’si Almanya’ya, %15’i ise Kanada’ya ait olduğu tespit edilmiştir. Bu durum, dünya genelindeki siber güvenlik uzmanlarının dikkatini çekmektedir.
Ayrıca, GreyNoise’un bildirdiği bir başka ilginç nokta, daha önceki saldırılarla ilişkili TCP/JA4t parmak izlerinin tekrar kullanılmasıdır. Bu durum, siber güvenlik risklerini daha da arttırıyor ve daha karmaşık hale getiriyor.
VPN Girişlerinin Hedeflenmesi
Palo Alto Networks’un sunduğu GlobalProtect VPN çözümleri, günümüz siber saldırılarına karşı sürekli olarak izlenmeli ve korunmalıdır. Kötü niyetli aktörler, bu VPN sistemlerine sızmak için çeşitli yöntemler denemeye devam etmektedir. Artan tarama trafiği, yalnızca sistemlerin güvenlik açıklarını hedef almakla kalmayıp, aynı zamanda bu sistemlere yönelik geliştirilen yeni saldırı vektörlerini de işaret edebilmektedir.
GreyNoise daha önce, bu tür kötü niyetli probe girişimlerinin engellenmesi ve bunların aktif bir şekilde izlenmesi gerektiğini vurgulamıştır. Yapılan istatistikler, bu tür taramaların genellikle yeni güvenlik açıklarının açıklanmasından önce yaşandığını doğrulamaktadır.
Palo Alto Networks’un Güncel Durumu
2023 yılı içinde Palo Alto Networks, CVE-2025-0108 ve CVE-2025-0111 gibi istismar edilen güvenlik açıklarıyla ilgili iki olayı rapor etmiştir. Bu tür durumlar, şirketin güvenlik danışmanlık hizmetlerinin ne kadar hayati olduğunu bir kez daha göstermektedir. Özellikle de bu durumlar, müşteri verilerinin sızmasının yanı sıra, destek taleplerinin de tehlikede olduğunu ortaya koymaktadır.
Sonuç olarak, Palo Alto Networks GlobalProtect VPN portallarına yönelik artan bu tarama faaliyetleri, hem siber güvenlik profesyonelleri hem de kullanıcılar için büyük bir tehdit teşkil etmektedir. Bu nedenle, etkili bir savunma hattı kurmak ve sürekli olarak sistemleri güncellemek hayati bir önem taşımaktadır.
