GreyNoise je otkrio da se napadi koji iskorišćavaju ranjivosti u uređajima kompanija Cisco, Fortinet i Palo Alto Networks pokreću sa iste infrastrukture.
Kompanija za sajber obavještajne podatke je prvobitno upozorila na pokušaje skeniranja Cisco ASA uređaja početkom septembra, otprilike tri nedjelje prije nego što je Cisco otkrio dvije nultodnevne ranjivosti koje pogađaju Secure Firewall Adaptive Security Appliance (ASA) i Secure Firewall Threat Defense (FTD) softver.
Ranjivosti, označene kao CVE-2025-20333 (CVSS ocjena 9.9) i CVE-2025-20362 (CVSS ocjena 6.5), iskorišćene su u napadima povezanima sa špijunskom kampanjom ArcaneDoor, koju se pripisuje hakerima iz Kine.
Prošle nedjelje, GreyNoise je upozorio na ogroman porast skeniranja Palo Alto Networks GlobalProtect login portala, kao i povećanje broja jedinstvenih ASN-ova uključenih u napade.
Tokom dvodnevnog perioda, zabilježen je rast aktivnosti skeniranja od 500%, koji je poticao sa oko 1.300 IP adresa. U roku od nekoliko dana broj jedinstvenih IP adresa povećao se na 2.200, što ukazuje da se u aktivnost uključio veći broj hakera.
U protekloj nedjelji, GreyNoise je registrovao preko 1,3 miliona pokušaja prijave usmjerenih na Palo Alto Networks firewalle i objavio listu kredencijala korišćenih u kampanji.
U četvrtak je kompanija upozorila da kampanje skeniranja koje ciljaju Cisco i Palo Alto Networks firewalle potiču sa IP adresa koje pripadaju istim subnetovima, te da se mogu povezati sa brute force pokušajima na Fortinet VPN-ove.
„Porasti u pokušajima brute force napada na Fortinet VPN-ove obično prethode objavljivanju novih ranjivosti u tim proizvodima u roku od šest nedjelja. Blokirajte sve IP adrese koje vrše brute force na Fortinet SSL VPN-ove i razmotrite jačanje zaštite firewall i VPN uređaja u svjetlu ovih nalaza,“ poručuje GreyNoise.
Prema navodima kompanije, oko 80% porasta aktivnosti koja cilja firewall i VPN proizvode poznatih vendora predstavlja rani pokazatelj da će nove ranjivosti u tim proizvodima vjerovatno biti otkrivene u narednih šest nedjelja.
Tri kampanje koje ciljaju Cisco, Fortinet i Palo Alto Networks uređaje dijele iste TCP otiske, koriste iste subnetove i pokazuju povećanu aktivnost u sličnim vremenskim periodima.
„Sa visokim stepenom pouzdanosti procjenjujemo da su sve tri kampanje barem djelimično pokrenute od strane istih hakera“, navodi GreyNoise.
Kompanija je takođe objavila listu kredencijala korišćenih u Fortinet kampanji.
Izvor: SecurityWeek