Une augmentation significative de l’activité d’analyse ciblant les portails de connexion GlobalProtect du réseau Palo Alto a été observée, les chercheurs craignant que cela ne soit le prélude à une attaque ou à une faille à venir exploitée.
Selon Grey Noise, qui rapporte l’activité, l’activité de numérisation implique plus de 24 000 adresses IP sources uniques. L’activité a culminé à 20 000 adresses IP uniques par jour le 17 mars 2025 et s’est poursuivie à cette échelle jusqu’au 26 mars.
Parmi ces adresses IP, 23 800 sont classées comme « suspectes », tandis que 154 ont été validées par la société de surveillance des menaces comme « malveillantes », laissant peu de doute sur les véritables intentions de l’activité.
La plupart des tentatives de numérisation proviennent des États-Unis et du Canada. La plupart des systèmes ciblés sont basés aux États-Unis, bien que d’autres pays soient ciblés.
GreyNoise a noté que dans le passé, de tels pics d’analyse du réseau ont été liés à une reconnaissance préparatoire, qui a finalement été suivie de la divulgation des failles deux à quatre semaines plus tard.
« Au cours des 18 à 24 derniers mois, nous avons observé un schéma constant de ciblage délibéré d’anciennes vulnérabilités ou de tentatives d’attaque et de reconnaissance bien rodées contre des technologies spécifiques », déclare Bob Rudis, vice-président de la science des données chez GreyNoise.
« Ces tendances coïncident souvent avec l’apparition de nouvelles vulnérabilités 2 à 4 semaines plus tard. »
GreyNoise a souligné la cohérence dans la façon dont l’activité d’analyse est effectuée, suggérant que cela pourrait faire partie d’un effort pour tester les défenses du réseau avant de tenter une exploitation ciblée.
Les chercheurs ont également trouvé un lien avec une autre activité qu’ils ont observée récemment, concernant un robot PAN-OS qui a également atteint un pic le 26 mars 2025, impliquant 2 580 adresses IP dans ses analyses.
GreyNoise a noté que l’activité rappelle la campagne d’espionnage Cisco Talos attribuée aux pirates informatiques « ArcaneDoor » il y a environ un an, ciblant les périphériques périphériques.
À l’heure actuelle, la nature exacte et les objectifs de cette activité à grande échelle restent flous, mais le point à retenir pour les administrateurs des systèmes Palo Alto Networks exposés à Internet devrait être d’élever leur vigilance contre les tentatives de sondage et d’exploitation potentielle.
GreyNoise recommande d’examiner les journaux depuis la mi-mars pour évaluer si vous avez été ciblé, rechercher des signes de compromission, renforcer les portails de connexion et bloquer les adresses IP malveillantes connues (partagées dans le rapport).
Breachtrace a contacté Palo Alto Networks pour un commentaire sur l’activité que Greynoise voit, et nous mettrons à jour ce post lorsque nous aurons de ses nouvelles.