Un pic d’analyses suspectes ciblant les portails de connexion de Palo Alto Networks indique des efforts de reconnaissance clairs à partir d’adresses IP suspectes, avertissent les chercheurs.
La société de renseignement sur la cybersécurité GreyNoise signale une augmentation de 500% des adresses IP axées sur les profils GlobalProtect et PAN-OS de Palo Alto Networks.
L’activité a culminé le 3 octobre avec plus de 1 285 IP uniques engagées dans l’activité. En règle générale, les analyses quotidiennes ne dépassent pas 200 adresses, indique la société.
La plupart des adresses IP observées étaient géolocalisées aux États-Unis, tandis que de plus petits groupes étaient basés au Royaume-Uni, aux Pays-Bas, au Canada et en Russie.
Un groupe d’activités a concentré son trafic sur des cibles aux États-Unis et un autre sur le Pakistan, selon les chercheurs, notant que les deux avaient « des empreintes digitales TLS distinctes mais non sans chevauchement. »
Selon GreyNoise, 91% des adresses IP ont été classées comme suspectes. 7% supplémentaires ont été étiquetés comme malveillants.
« Presque toutes les activités ont été dirigées vers les profils Palo Alto émulés de GreyNoise (Palo Alto GlobalProtect, Palo Alto PAN-OS), ce qui suggère que l’activité est de nature ciblée, probablement dérivée d’analyses publiques (par exemple, Shodan, Censys) ou d’empreintes digitales d’appareils Palo Alto provenant d’attaquants », explique GreyNoise.
GreyNoise a déjà averti qu’une telle activité d’analyse indique souvent une préparation à des attaques utilisant de nouveaux exploits pour des failles zero-day ou n-day.
La firme de cybersécurité a récemment émis un avertissement concernant l’augmentation des analyses de réseau ciblant les périphériques Cisco ASA. Deux semaines plus tard, des informations ont fait état d’une vulnérabilité zero-day exploitée dans des attaques ciblant le même produit Cisco.
Cependant, GreyNoise dit que la corrélation observée est plus faible pour les analyses récentes axées sur les produits Palo Alto Networks.
Grafana également ciblé
Les chercheurs ont également remarqué une augmentation des tentatives d’exploitation d’une ancienne vulnérabilité de traversée de chemin dans Grafana. Le problème de sécurité est identifié comme CVE-2021-43798 et a été exploité en décembre 2021 lors d’attaques zero-day.
GreyNoise a observé 110 adresses IP malveillantes uniques, la plupart originaires du Bangladesh, lançant des attaques le 28 septembre.
Les cibles étaient principalement basées aux États-Unis, en Slovaquie et à Taiwan, les attaques maintenant un ratio de destinations cohérent en fonction de l’origine spécifique, ce qui indique généralement une automatisation.
Greynoise recommande aux administrateurs de s’assurer que leurs instances Grafana sont corrigées par rapport à CVE-2021-43798 et de bloquer les 110 adresses IP malveillantes identifiées.
Les chercheurs conseillent également de vérifier dans les journaux les preuves de demandes de traversée de chemin susceptibles de renvoyer des fichiers sensibles.