Palo Alto Networks telah mengungkapkan bahwa mereka mengamati upaya login brute-force terhadap gateway Pan-OS Global Protect, beberapa hari setelah aktor ancaman memperingatkan akan lonjakan aktivitas pemindaian login yang mencurigakan yang menargetkan peralatannya.
“Tim kami mengamati bukti aktivitas yang konsisten dengan serangan terkait kata sandi, seperti upaya login brute-force, yang tidak menunjukkan eksploitasi kerentanan,” kata juru bicara perusahaan kepada perusahaan tersebut kepada Hacker News. “Kami terus secara aktif memantau situasi ini dan menganalisis aktivitas yang dilaporkan untuk menentukan dampak potensial dan mengidentifikasi apakah mitigasi diperlukan.”
Perkembangan ini terjadi setelah firma intelijen ancaman Greynoise mengingatkan lonjakan dalam aktivitas pemindaian login yang mencurigakan yang ditujukan untuk portal Pan-OS Global Protect.
Perusahaan lebih lanjut mencatat bahwa kegiatan tersebut dimulai pada 17 Maret 2025, mencapai puncaknya 23.958 alamat IP unik sebelum turun menjelang akhir bulan lalu. Pola ini menunjukkan upaya terkoordinasi untuk menyelidiki pertahanan jaringan dan mengidentifikasi sistem yang terbuka atau rentan.
Kegiatan pemindaian login terutama telah memilih sistem di Amerika Serikat, Inggris, Irlandia, Rusia, dan Singapura.
Saat ini tidak diketahui seberapa luas upaya ini dan jika mereka adalah pekerjaan dari aktor ancaman spesifik pada tahap ini. The Hacker News telah menjangkau Palo Alto Networks untuk komentar tambahan, dan kami akan memperbarui cerita jika kami mendengar kembali.
Sementara itu, semua pelanggan didorong untuk memastikan bahwa mereka menjalankan versi terbaru PAN-OS. Mitigasi lainnya termasuk menegakkan otentikasi multi-faktor (MFA), mengkonfigurasi penghapusan global untuk memfasilitasi pemberitahuan MFA, mengatur kebijakan keamanan untuk mendeteksi dan memblokir serangan brute-force, dan membatasi paparan yang tidak perlu ke Internet.
