資安情報公司 GreyNoise 發現,針對 Palo Alto Networks 的 GlobalProtect VPN 登入入口的惡意掃描活動大幅攀升。
自 2025 年 11 月 14 日起,攻擊流量在 24 小時內暴增 40 倍,創下 90 天新高。
根據 GreyNoise 的分析,這波攻擊活動具有高度組織性與協調性。從 11 月 14 日至 19 日期間,研究人員記錄到
230 萬次針對 */global-protect/login.esp 端點的掃描連線。這個 URI 端點是 Palo Alto Networks 防火牆執行 GlobalProtect 服務時所暴露的網頁介面,供 VPN 使用者進行身分驗證。
攻擊來源與技術指紋分析
GreyNoise 透過技術指紋分析發現,這次攻擊與先前的類似活動高度相關。研究人員觀察到重複出現的 TCP/JA4t 指紋特徵、相同的 ASN(自治系統編號)被重複使用,且攻擊高峰時間點也有明顯關聯性。
主要攻擊來源為
AS200373(3xK Tech GmbH),
其中 62% 的 IP 位址來自德國,15% 來自加拿大。另一個相關的 ASN 是 AS208885(Noyobzoda Faridduni Saidilhom)。攻擊目標主要集中在美國、墨西哥和巴基斯坦,三地的攻擊量大致相同。
這並非 Palo Alto Networks 產品首次遭遇大規模掃描攻擊。今年 10 月初,針對 GlobalProtect 和 PAN-OS 設定檔的掃描 IP 位址數量激增 500%,其中 91% 被歸類為「可疑」,另有 7% 明確為惡意。更早在 4 月,也曾出現涉及 2.4 萬個 IP 位址的掃描活動。
延伸閱讀:Palo Alto Networks 示警 PAN-OS GlobalProtect 閘道遭遇暴力破解攻擊
根據 GreyNoise 的統計數據,掃描活動高峰往往預示新的安全漏洞即將公開。
在 80% 的案例中,掃描激增發生在 CVE 揭露之前,而這個關聯在 Palo Alto Networks 產品上更為明顯。今年 2 月,
CVE-2025-0108 漏洞遭到主動利用,隨後攻擊者更將其與
CVE-2025-0111 及
CVE-2024-9474 串連成攻擊鏈。
廠商回應與防護建議
Palo Alto Networks 表示已完成調查,未發現任何系統遭入侵的跡象。其採用自家 Cortex XSIAM 平台進行防護,每日可阻擋 150 萬次新攻擊,並自動將 360 億個資安事件篩選為最關鍵的威脅。
資安專家建議組織應採取以下措施:
- 主動封鎖掃描嘗試,不應將其視為針對已修補漏洞的失敗攻擊而忽略
- 持續追蹤惡意探測活動,因為它們往往預示新漏洞即將出現
- 確保 VPN 登入入口具備適當的存取控管與監控機制
- 定期更新防火牆與 VPN 軟體,並檢視安全性設定
本文轉載自 BleepingComputer。