(https://i.imgur.com/xKSx5Wq.png)
Un incremento significativo en la actividad de escaneo ha puesto en alerta a los expertos en ciberseguridad. Se ha detectado un gran volumen de intentos dirigidos a los portales de inicio de sesión GlobalProtect de Palo Alto Networks, lo que podría indicar un ataque inminente o la explotación de una vulnerabilidad crítica.
Escaneo masivo detectado por GreyNoiseLa firma de monitoreo de amenazas GreyNoise ha identificado más de 24.000 direcciones IP de origen involucradas en esta actividad sospechosa. El punto máximo se alcanzó el 17 de marzo de 2025, con 20.000 direcciones IP únicas escaneando en un solo día, y la actividad continuó a un nivel elevado hasta el 26 de marzo.
De estas direcciones IP:
- 23.800 han sido catalogadas como "sospechosas".
- 154 fueron confirmadas como "maliciosas".
Estos datos evidencian la posibilidad de un ataque planificado o una evaluación preliminar de vulnerabilidades en los sistemas objetivo.
Origen del escaneo y patrones detectadosLos intentos de escaneo provienen mayormente de Estados Unidos y Canadá, con los servidores objetivo concentrados en Estados Unidos y otros países.
GreyNoise ha identificado un patrón consistente en los últimos 18 a 24 meses, donde actividades de escaneo como esta preceden la divulgación de vulnerabilidades de 2 a 4 semanas después. Según Bob Rudis, vicepresidente de Ciencia de Datos de GreyNoise, esta táctica sugiere un intento de reconocimiento previo a una explotación dirigida.
Relación con otras amenazas y campañas previasEl 26 de marzo de 2025, también se detectó un aumento en la actividad de escaneo relacionada con un rastreador PAN-OS, con 2.580 IP involucradas. Este evento guarda similitudes con la campaña de espionaje atribuida al grupo de hackers 'ArcaneDoor', investigada por Cisco Talos hace un año, y que afectó dispositivos periféricos.
Recomendaciones para administradores de Palo Alto NetworksAnte esta situación, los expertos en ciberseguridad recomiendan:
- Revisar los registros desde mediados de marzo para detectar accesos sospechosos.
- Buscar signos de compromiso en los sistemas afectados.
- Fortalecer la seguridad de los portales de inicio de sesión GlobalProtect.
- Bloquear direcciones IP maliciosas, siguiendo el listado compartido en el informe de GreyNoise.
BleepingComputer ha solicitado comentarios a Palo Alto Networks y actualizará esta información en caso de recibir una respuesta.
Mantente alerta ante este posible ataque cibernético y refuerza la seguridad de tu red para evitar riesgos potenciales.
Fuente: https://www.bleepingcomputer.com/