Bài viết thảo luận về một làn sóng hoạt động độc hại gần đây nhằm vào các cổng GlobalProtect của Palo Alto Networks (PAN) PAN-OS. Dưới đây là những điểm chính:
- Hoạt động độc hại: Một số lượng lớn địa chỉ IP duy nhất, gần 24.000, đã được quan sát đang cố gắng xâm nhập vào các cổng GlobalProtect của Palo Alto Networks.
- Khai thác lỗ hổng: Các kẻ tấn công đang khai thác các lỗ hổng trong hệ thống PAN-OS, có thể cho phép họ truy cập trái phép vào các cổng này. Hoạt động này đã được theo dõi bởi GreyNoise, ghi nhận số lượng địa chỉ IP duy nhất targeting các lỗ hổng này cao nhất trong tháng vừa qua.
- Tác động tiềm tàng: Việc khai thác những lỗ hổng này có thể dẫn đến quyền truy cập đầy đủ vào cơ sở dữ liệu nếu các lỗ hổng được kết hợp lại. Các tổ chức sử dụng ServiceNow nên có hành động ngay để bảo vệ hệ thống của họ, vì lỗ hổng này hiện không xuất hiện trong danh mục Các lỗ hổng đã được khai thác của CISA.
- Quan sát của GreyNoise: GreyNoise đã quan sát các nỗ lực xâm nhập đường dẫn Grafana trước khi bùng nổ hành vi Tấn công Lời đề nghị Server-Side (SSRF) vào ngày 9 tháng 3, cho thấy một chiến lược tấn công đa giai đoạn, trong đó các kẻ tấn công đầu tiên lập bản đồ cơ sở hạ tầng bị phơi bày trước khi nâng cấp các cuộc tấn công của họ.
- Khuyến nghị: Để giảm thiểu rủi ro này, các tổ chức nên:
- Sử dụng GreyNoise Visualizer để cập nhật hoạt động mới nhất.
- Thực hiện các biện pháp bảo mật nghiêm ngặt, bao gồm phân đoạn mạng và theo dõi các nỗ lực truy cập trái phép.
- Đảm bảo quản lý bản vá kịp thời và áp dụng các thực tiễn bảo mật tốt nhất để ngăn chặn khai thác.
Sự cố này nhấn mạnh tầm quan trọng của việc giám sát liên tục và các biện pháp bảo mật chủ động để bảo vệ khỏi các mối đe dọa mạng tinh vi.
