Σε μια κλιμακούμενη εκστρατεία που στοχεύει στην υποδομή απομακρυσμένης πρόσβασης, οι φορείς απειλών έχουν ξεκινήσει ενεργές προσπάθειες εκμετάλλευσης κατά των πυλών GlobalProtect VPN της Palo Alto Networks.
Η αναφορά δραστηριότητας παρακολούθησης GrayNoise σαρώνει και προσπάθειες εκμετάλλευσης που προέρχονται από περισσότερες από 7.000 μοναδικές διευθύνσεις IP παγκοσμίως, προκαλώντας συναγερμούς για οργανισμούς που βασίζονται στη δημοφιλή λύση VPN για ασφαλή απομακρυσμένη εργασία.
Οι επιθέσεις, που εντοπίστηκαν για πρώτη φορά στα τέλη Νοεμβρίου 2025, επικεντρώνονται σε ευπάθειες στις πύλες GlobalProtect, ιδιαίτερα σε αυτές που εκτίθενται στο Διαδίκτυο μέσω της θύρας UDP 4501.
Σύμφωνα με δεδομένα από το Shadowserver και άλλες ροές πληροφοριών απειλών, οι πηγές IP καλύπτουν οικιακούς διακομιστές μεσολάβησης, αλεξίσφαιρους παρόχους φιλοξενίας και παραβιασμένες παρουσίες VPS σε όλη την Ασία, την Ευρώπη και τη Βόρεια Αμερική.
«Δεν πρόκειται για ευκαιριακή σάρωση· οι ηθοποιοί ερευνούν για αδύναμες διαμορφώσεις και τις αλυσοδένουν με γνωστά κατορθώματα», σημείωσε ένας ερευνητής από μια μεγάλη εταιρεία κυβερνοασφάλειας, ο οποίος μίλησε υπό τον όρο της ανωνυμίας.
Το GlobalProtect της Palo Alto Networks αποτελεί εδώ και καιρό πρωταρχικό στόχο λόγω της πανταχού παρουσίας του σε εταιρικά περιβάλλοντα. Ιστορικά ελαττώματα, όπως το CVE-2024-3400 (μια κρίσιμη ευπάθεια έγχυσης εντολών που επιδιορθώθηκε τον Απρίλιο του 2024 με βαθμολογία CVSS 9,8), συνεχίζουν να στοιχειώνουν μη επιδιορθωμένα συστήματα.
Τα πρόσφατα κύματα εκμεταλλεύονται εσφαλμένες διαμορφώσεις που επιτρέπουν την πρόσβαση προ-έλεγχος ταυτότητας, συμπεριλαμβανομένων των προεπιλεγμένων διαπιστευτηρίων ή των εκτεθειμένων πυλών διαχειριστή. Οι επιτιθέμενοι αναπτύσσουν εργαλεία όπως προσαρμοσμένα σενάρια που μιμούνται τις μονάδες Metasploit για να απαριθμήσουν πύλες, συνδέσεις brute-force και να απορρίψουν κακόβουλο λογισμικό για επιμονή.
Η τελευταία έκθεση απειλών της Mandiant αποδίδει παρόμοιες τακτικές σε ομάδες που συνδέονται με το κινεζικό κράτος όπως το UNC4841, αν και κανένας παράγοντας δεν έχει συνδεθεί οριστικά με αυτή την αύξηση.
Οι δείκτες συμβιβασμού περιλαμβάνουν ανώμαλες αιχμές κυκλοφορίας UDP στη θύρα 4501, ακολουθούμενες από αιτήματα HTTP στα τελικά σημεία /global-protect/login.urd. Σε επιβεβαιωμένες παραβιάσεις, οι εισβολείς έχουν διεισδύσει σε μάρκες συνεδρίας, επιτρέποντας την πλευρική κίνηση σε εταιρικά δίκτυα.
Η Palo Alto Networks εξέδωσε μια επείγουσα συμβουλή στις 5 Δεκεμβρίου, καλώντας τους πελάτες να επιβάλουν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), να περιορίσουν την έκθεση της πύλης μέσω τείχους προστασίας και να εφαρμόσουν τις πιο πρόσφατες ενημερώσεις κώδικα.
«Το GlobalProtect παραμένει ασφαλές όταν έχει ρυθμιστεί σωστά, αλλά οι πύλες που έχουν πρόσβαση στο Διαδίκτυο είναι στόχοι υψηλής αξίας», δήλωσε η εταιρεία. Η CISA έχει προσθέσει σχετικές ΔΟΕ στον κατάλογό της Γνωστών Εκμεταλλευόμενων Ευπαθειών, συμβουλεύοντας τις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν εντός 72 ωρών.
Οι ειδικοί συνιστούν κρίσιμες πύλες με διάκενο αέρα, εφαρμογή τμηματοποίησης μηδενικής εμπιστοσύνης και παρακολούθηση για beaconing σε διακομιστές C2 όπως αυτοί που φιλοξενούνται σε AWS ή Azure. Καθώς η υβριδική εργασία συνεχίζεται, αυτή η καμπάνια υπογραμμίζει την ευθραυστότητα των VPN παλαιού τύπου έναντι των βιομηχανοποιημένων επιθέσεων.
Related Posts
Χάκερ που εκμεταλλεύονται την ευπάθεια του XWiki στη φύση για να προσλάβουν τους διακομιστές για το Botnet
Το ελάττωμα του React2Shell αξιοποιήθηκε για παραβίαση 30 οργανισμών, ευάλωτες διευθύνσεις IP 77k
Τα ελαττώματα του τείχους προστασίας που εκμεταλλεύονται ενεργά τα οποία χρησιμοποιούνται πλέον για επιθέσεις DoS
