Les chercheurs en cybersécurité avertissent un pic dans une activité de balayage de connexion suspecte ciblant les passerelles PALO Alto Pan-OS GlobalProtect, avec près de 24 000 adresses IP uniques tentant d’accéder à ces portails.
“Ce modèle suggère un effort coordonné pour sonder les défenses du réseau et identifier les systèmes exposés ou vulnérables, potentiellement comme précurseur à l’exploitation ciblée”, la société de renseignement des menaces Greynoise dit.
La forte augmentation aurait commencé le 17 mars 2025, soutenant près de 20 000 adresses IP uniques par jour avant de déposer le 26 mars. À son apogée, 23 958 adresses IP uniques auraient participé à l’activité. Parmi ceux-ci, seul un sous-ensemble plus petit de 154 adresses IP a été signalé comme malveillant.
Les États-Unis et le Canada ont émergé comme les principales sources de trafic, suivies de la Finlande, des Pays-Bas et de la Russie. L’activité a principalement ciblé les systèmes aux États-Unis, au Royaume-Uni, en Irlande, en Russie et à Singapour.
Il n’est actuellement pas clair ce qui stimule l’activité, mais il indique une approche systémique pour tester les défenses du réseau, ce qui pourrait probablement ouvrir la voie à une exploitation ultérieure.
“Au cours des 18 à 24 derniers mois, nous avons observé un schéma cohérent de ciblage délibéré des vulnérabilités plus anciennes ou des tentatives d’attaque et de reconnaissance bien usées contre des technologies spécifiques”, a déclaré Bob Rudis, vice-président de la science des données chez GreyNoise. “Ces modèles coïncident souvent avec de nouvelles vulnérabilités émergeant 2 à 4 semaines plus tard.”
À la lumière de l’activité inhabituelle, il est impératif que les organisations avec les instances de réseaux Palo Alto orientées Internet prennent des mesures pour sécuriser leurs portails de connexion.
Le Hacker News a contacté Palo Alto Networks pour des commentaires supplémentaires, et nous mettrons à jour l’histoire si nous entendons.



