Los investigadores de seguridad cibernética advierten sobre un aumento en la actividad de escaneo de inicio de sesión sospechosa dirigida a las redes PAN-OS GlobalProtect PAN-OS, con casi 24,000 direcciones IP únicas que intentan acceder a estos portales.
“Este patrón sugiere un esfuerzo coordinado para investigar las defensas de la red e identificar sistemas expuestos o vulnerables, potencialmente como un precursor de la explotación específica”, la firma de inteligencia de amenazas Greynoise dicho.
Se dice que el aumento comenzó el 17 de marzo de 2025, manteniendo a casi 20,000 direcciones IP únicas por día antes de caer el 26 de marzo. En su pico, se estima que las 23,958 direcciones IP únicas participaron en la actividad. De estos, solo un subconjunto más pequeño de 154 direcciones IP ha sido marcada como maliciosa.
Estados Unidos y Canadá se han convertido en las principales fuentes de tráfico, seguidas de Finlandia, los Países Bajos y Rusia. La actividad tiene principalmente sistemas dirigidos en los Estados Unidos, el Reino Unido, Irlanda, Rusia y Singapur.
Actualmente no está claro qué está impulsando la actividad, pero apunta a un enfoque sistémico para probar las defensas de la red, lo que probablemente podría allanar el camino para la explotación posterior.
“En los últimos 18 a 24 meses, hemos observado un patrón consistente de focalización deliberada de vulnerabilidades más antiguas o intentos de ataque y reconocimiento bien usados contra tecnologías específicas”, dijo Bob Rudis, vicepresidente de ciencia de datos en Greynoise. “Estos patrones a menudo coinciden con nuevas vulnerabilidades que surgen de 2 a 4 semanas después”.
A la luz de la actividad inusual, es imperativo que las organizaciones con instancias de redes Palo Alto orientadas a Internet tomen medidas para asegurar sus portales de inicio de sesión.
Hacker News se ha comunicado con las redes Palo Alto para hacer más comentarios, y actualizaremos la historia si recibimos noticias.
About the Author
