GreyNoise 偵測 Palo Alto 入口異常掃描激增500%，恐為零時差漏洞前兆

威脅情報公司 GreyNoise 於 10 月 4 日發布警告，針對 Palo Alto Networks 登入介面的掃描活動在 10 月 3 日單日暴增近 500%，創下三個月來最高紀錄。根據該公司 7 月份的研究顯示，此類異常掃描激增往往在六週內伴隨新的零時差漏洞 (Zero-day Vulnerability) 揭露，技術人員應立即提高警覺並採取預防措施。

GreyNoise 觀察到這些參與掃描活動的獨立 IP 位址從日常約 200 個驟增至 1,300 個，其中 93% 被分類為可疑活動，7% 確認為惡意來源。這波掃描活動呈現高度結構化與針對性特徵，主要鎖定 Palo Alto Networks 的登入介面進行偵察。

與 Cisco ASA 攻擊模式高度相似

更令人擔憂的是，此次 Palo Alto 掃描活動與過去 48 小時內發生的 Cisco ASA 掃描共享多項特徵。GreyNoise 分析指出，兩起事件的掃描器都展現區域叢集 (Regional Clustering) 特性，且在使用工具的指紋特徵上有重疊。

GreyNoise 在報告中指出，Cisco ASA 和 Palo Alto 登入掃描流量都共享一個主要的 TLS 指紋 (TLS Fingerprint)，該指紋連結到位於荷蘭的基礎設施。這項發現暗示兩波掃描可能由同一攻擊組織發動，或至少使用相同的攻擊框架。

9 月初 GreyNoise 曾警告 Cisco ASA 設備遭遇類似掃描激增，數週後 Cisco 即揭露兩個零時差漏洞 CVE-2025-20333 和 CVE-2025-20362，這些漏洞已在實際攻擊中被利用來部署 RayInitiator 和 LINE VIPER 等惡意軟體家族。

六週預警模式再現

GreyNoise 在 7 月發布的「早期預警訊號」(Early Warning Signals) 報告中發現一個關鍵模式：針對特定技術的惡意掃描、暴力破解或漏洞利用嘗試激增後，通常在六週內會有新的 CVE 漏洞公布。

這個模式在 Cisco ASA 案例中得到驗證。8 月底開始的掃描活動源自超過 25,100 個 IP 位址，主要位於巴西、阿根廷和美國。隨後在 9 月，Cisco 即公布了兩個已遭實際利用的零時差漏洞。

目前根據 Shadowserver Foundation 的數據顯示，全球仍有超過 45,000 台 Cisco ASA/FTD 設備尚未修補這兩個漏洞，其中美國約 20,000 台，歐洲約 14,000 台，顯示許多組織的修補速度趕不上威脅演進。

掃描來源地理分布與技術特徵

此次針對 Palo Alto Networks 的掃描活動呈現明顯的地理分布特徵。91% 的掃描 IP 位址來自美國，其餘較小的叢集分布在英國、荷蘭、加拿大和俄羅斯。這種集中式的地理分布可能表示攻擊者使用了被入侵的基礎設施或雲端服務進行掃描。

技術層面上，掃描活動展現高度組織性。GreyNoise 將這些流量描述為「有針對性且結構化」，並指出這些掃描「很可能源自公開或攻擊者發起的掃描」。這意味著攻擊者可能正在系統性地收集 Palo Alto Networks 設備的暴露面資訊，為後續攻擊做準備。

Palo Alto Networks 官方回應

面對掃描活動激增，Palo Alto Networks 發言人表示已調查相關報告，目前未發現任何入侵跡象。 Palo Alto Networks 表示，公司使用自家的 Cortex XSIAM 平台保護基礎設施。這個平台每天能阻擋 150 萬次新攻擊，還能從 360 億個安全事件中自動識別真正的關鍵威脅。

然而，安全專家仍建議客戶不應僅依賴廠商的保證，應主動採取防護措施。

更廣的威脅態勢

這波針對 Palo Alto Networks 的掃描並非孤立事件。GreyNoise 同時偵測到針對其他遠端存取服務的掃描增加，包括 SonicWall、Ivanti、Pulse Secure 等產品。這顯示攻擊者正在系統性地針對企業遠端存取基礎設施進行偵察。

英國國家網路安全中心 (National Cyber Security Centre, NCSC) 在 5 月的報告中警告，網路威脅行為者幾乎肯定已在使用人工智慧 (AI) 來增強現有的戰術、技術和程序 (Tactics, Techniques, and Procedures, TTPs)，包括受害者偵察、漏洞研究和漏洞利用開發。AI 的應用可能使攻擊者能夠更快速地識別和利用新發現的漏洞。

對台灣企業而言，許多組織使用 Palo Alto Networks 產品作為網路邊界防護的關鍵元件。技術人員應立即檢視自身環境，確保防護措施到位，並密切關注後續的安全公告。根據過往經驗，從偵察活動到實際攻擊的時間窗口可能非常短暫，主動防禦是降低風險的關鍵。

本文內容轉載自 The Hacker News、Infosecurity Magazine。