Hücumların Kəskin Artışı

Son günlərdə Palo Alto Networks GlobalProtect VPN portallarına qarşı zərərli fəaliyyətlərdə ciddi artım qeydə alınıb. Real-time kəşfiyyat şirkəti GreyNoise, bu fəaliyyətlərin 14 noyabrdan etibarən sürətlə artdığını və 24 saat ərzində 40 dəfə çoxaldığını bildirir. Bu, son 90 gün ərzində müşahidə olunan ən yüksək səviyyədir.

Əvvəlki Hücumlarla Əlaqələr

GreyNoise, bu hücumların əvvəlki kampaniyalarla əlaqəli olduğunu yüksək əminliklə qeyd edir. Təkrar TCP/JA4t barmaq izləri, eyni ASN-lərin istifadəsi və kampaniyalar arasında zamanlama uyğunluğu bunu təsdiqləyir. Əsas hücum ASN-i AS200373 (3xK Tech GmbH) olaraq təyin edilib, IP-lərin 62%-i Almaniyadan, 15%-i isə Kanadadan gəlir. İkinci ASN isə AS208885 (Noyobzoda Faridduni Saidilhom) olaraq tanınıb.

Hücumların Məqsədi

14-19 noyabr tarixləri arasında GreyNoise, Palo Alto PAN-OS və GlobalProtect üzərindəki */global-protect/login.esp URI-yə 2.3 milyon sessiyanın yönəldiyini müşahidə edib. Bu URI Palo Alto Networks firewall-u tərəfindən təqdim olunan bir veb nöqtəsidir və VPN istifadəçilərinin autentifikasiya etdiyi səhifəni göstərir. Hücumların əsas hədəfi ABŞ, Meksika və Pakistan olub.

Təhlükəsizlik Boşluqları və Risklər

GreyNoise-ın məlumatına görə, bu cür skanlama artımları, yeni təhlükəsizlik boşluqlarının açıqlanmasından əvvəl 80% hallarda baş verir. Palo Alto Networks məhsulları üçün bu korrelyasiya daha güclüdür. Şirkət, bu il iki aktiv istismar hadisəsini qeyd edib: fevral ayında CVE-2025-0108, daha sonra CVE-2025-0111 və CVE-2024-9474 ilə birləşdirilmişdir. Sentyabr ayında isə Palo Alto Networks müştəri məlumatlarını və dəstək hallarını açıqlayan bir məlumat sızması ilə üzləşib.

Palo Alto Networks-dən Açıqlama

Palo Alto Networks, GreyNoise tərəfindən bildirilən skanlama fəaliyyətini araşdırdığını və heç bir təhlükəsizlik pozuntusu olmadığını bildirib. Şirkət qeyd edir ki, öz Cortex XSIAM platforması vasitəsilə gündəlik 1.5 milyon yeni hücumu dayandırır və 36 milyard təhlükəsizlik hadisəsini ən kritik təhdidlərə endirərək infrastrukturun təhlükəsizliyini təmin edir.

Nəticə

Bu hadisə, kiberhücumların getdikcə daha da koordinasiyalı və intensiv hala gəldiyini göstərir. Şirkətlər təhlükəsizlik sistemlərini gücləndirmək və potensial boşluqları vaxtında aşkarlamaq üçün daha aktiv addımlar atmalıdırlar. VPN portallarına qarşı bu cür hücumlar, yalnız texnoloji infrastruktur üçün deyil, həm də istifadəçilərin şəxsi məlumatları üçün ciddi təhlükə yaradır.