Yeni Şifre Sprayleme Saldırıları: Cisco ve Palo Alto VPN Geçitleri Hedefte
Son günlerde, otomatik bir kampanya, Palo Alto Networks GlobalProtect ve Cisco SSL VPN gibi çeşitli VPN platformlarını hedef alan kimlik bilgisi tabanlı saldırılar gerçekleştirmektedir. Bu saldırılar, özellikle çok sayıda yabancı IP adresinden gelen giriş denemeleri ile dikkat çekmektedir.
Saldırıların Ölçeği ve Kaynağı
GreyNoise tehdit izleme platformu, 11 Aralık’ta GlobalProtect portallarına yapılan giriş denemelerinin 16 saatlik bir süre içinde 1.7 milyona ulaştığını tespit etti. Saldırılar, ABD, Meksika ve Pakistan gibi ülkelerdeki altyapılara yönelik olarak 10,000’den fazla benzersiz IP adresinden gerçekleştirilmiştir.
Bu kötü niyetli trafik, büyük ölçüde Almanya merkezli 3xK GmbH IP alanından kaynaklanmakta, yani merkezi bir bulut altyapısı kullanılmaktadır. Araştırmacılar, saldırganların yaygın kullanıcı adı ve şifre kombinasyonlarını yeniden kullandığını belirtti. Çoğu istek, otomatik giriş faaliyetleri için alışılmadık olan bir Firefox kullanıcı aracından gelmiştir.
Otomatik Kimlik Bilgisi Sorgulama
GreyNoise, “Kullanıcı aracının tutarlılığı, isteğin yapısı ve zamanlaması, GlobalProtect portallarını belirlemek için tasarlanmış senkronize kimlik bilgisi sorgulamasına işaret ediyor. Bu, etkileşimli erişim denemeleri veya güvenlik açığı istismarından ziyade otomatik bir süreçtir,” şeklinde açıklamada bulunmuştur.
Bu tür etkinlikler, girişimlerin arttığı dönemlerde, kurumsal VPN kimlik doğrulama uç noktalarına yönelik sürekli bir baskı olduğunu göstermektedir.
Kaynak: GreyNoise
Cisco SSL VPN’e Yönelik Aktiviteler
12 Aralık’ta, aynı barındırma sağlayıcısından gelen etkinliklerin Cisco SSL VPN uç noktalarına doğru yönelmesi dikkat çekti. GreyNoise, daha önceki değerlerin altında kalan 200’den az IP’den 1,273 benzersiz saldırı IP’sine bir sıçrama kaydetti.
Ayrıca, bu IP’lerin kullanımındaki artış, son 12 hafta içinde Cisco SSL VPN’lere karşı gerçekleşen ilk büyük ölçekli saldırı olarak değerlendirilmektedir. Bu durumda da, giriş yükleri normal SSL VPN kimlik doğrulama akışlarını izleyerek, otomatik kimlik saldırılarına işaret etmiştir.
Kaynak: GreyNoise
Cisco ve Palo Alto’dan Uyarılar
Cisco, Secure Email Gateway (SEG) ve Secure Email and Web Manager (SEWM) cihazlarını hedef alan bir sıfır gün güvenlik açığı (CVE-2025-20393) ile ilgili olarak müşterilerini uyarmıştır. Ancak, GreyNoise bu faaliyetlerin söz konusu güvenlik açığı ile ilişkili olduğuna dair herhangi bir kanıt bulamadığını belirtmiştir.
Palo Alto Networks temsilcisi ise, bu tür kimlik tabanlı faaliyetlerin farkında olduklarını ve kullanıcıların güçlü parolalarla birlikte çok faktörlü kimlik doğrulama koruması kullanmalarını önerdiklerini ifade etmiştir. Bu aktiviteler, sistemin veya herhangi bir güvenlik açığının istismar edilmediğini göstermektedir.
Alınabilecek Önlemler
Palo Alto Networks’ün önerilerinin yanı sıra, GreyNoise da yöneticilere ağ cihazlarını denetleme, beklenmeyen giriş denemelerini izleme ve bu tür sorguları gerçekleştiren bilinen kötü niyetli IP’leri engelleme tavsiyesinde bulunmaktadır. Bu tür önlemler, kurumsal ağların güvenliğini artırmak adına kritik öneme sahiptir.
