Peneliti cybersecurity memperingatkan lonjakan aktivitas pemindaian login yang mencurigakan yang menargetkan Palo Alto Networks Pan-OS Global Protect Gateways, dengan hampir 24.000 alamat IP unik yang mencoba mengakses portal ini.
“Pola ini menunjukkan upaya terkoordinasi untuk menyelidiki pertahanan jaringan dan mengidentifikasi sistem yang terbuka atau rentan, berpotensi sebagai pendahulu untuk eksploitasi yang ditargetkan,” kata perusahaan intelijen ancaman Greynoise.
Lonjakan ini dikatakan telah dimulai pada 17 Maret 2025, mempertahankan hampir 20.000 alamat IP unik per hari sebelum dikeluarkan pada 26 Maret. Pada puncaknya, 23.958 alamat IP unik diperkirakan telah berpartisipasi dalam kegiatan tersebut. Dari jumlah tersebut, hanya subset yang lebih kecil dari 154 alamat IP yang ditandai sebagai berbahaya.
Amerika Serikat dan Kanada telah muncul sebagai sumber lalu lintas teratas, diikuti oleh Finlandia, Belanda, dan Rusia. Kegiatan ini terutama menargetkan sistem di Amerika Serikat, Inggris, Irlandia, Rusia, dan Singapura.
Saat ini tidak jelas apa yang mendorong aktivitas tersebut, tetapi menunjuk pada pendekatan sistemik untuk menguji pertahanan jaringan, yang mungkin bisa membuka jalan bagi eksploitasi kemudian.
“Selama 18 hingga 24 bulan terakhir, kami telah mengamati pola yang konsisten dari penargetan yang disengaja dari kerentanan yang lebih tua atau upaya serangan dan pengintaian yang sudah usang terhadap teknologi tertentu,” Bob Rudis, Wakil Presiden Ilmu Data di Greynoise, mengatakan. “Pola -pola ini sering bertepatan dengan kerentanan baru yang muncul 2 hingga 4 minggu kemudian.”
Mengingat kegiatan yang tidak biasa, sangat penting bahwa organisasi dengan instance Palo Alto Networks yang menghadap internet mengambil langkah-langkah untuk mengamankan portal login mereka.
The Hacker News telah menjangkau Palo Alto Networks untuk komentar lebih lanjut, dan kami akan memperbarui cerita jika kami mendengar kembali.
