Gia tăng hoạt động quét nhắm vào Routers Session Thông Minh (SSR) của Juniper Networks và các cổng GlobalProtect của Palo Alto Networks là một mối quan tâm lớn về an ninh mạng. Dưới đây là những điểm chính về tình hình hiện tại:
Routers Session Thông Minh của Juniper Networks
Hoạt động quét:
Các nhà nghiên cứu đã quan sát thấy sự gia tăng trong việc quét tìm tên người dùng “t128,” mà khi đi kèm với mật khẩu “128tRoutes,” là một tài khoản mặc định nổi tiếng cho các sản phẩm Mạng Thông Minh của Juniper. Hoạt động này được cho là một phần của những nỗ lực gián điệp, xây dựng botnet hoặc khai thác lỗ hổng zero-day.
Liên quan đến botnet:
Johannes Ullrich, hiệu trưởng nghiên cứu tại Viện SANS, đã lưu ý rằng nhiều IP nguồn liên quan đến việc quét này nổi tiếng với việc quét SSH và có khả năng là một phần của một botnet kiểu ‘Mirai’. Điều này cho thấy rằng hoạt động quét có thể là một phần của một chiến dịch botnet lớn hơn.
Khai thác lỗ hổng:
Việc sử dụng tên người dùng và mật khẩu mặc định trên SSR của Juniper khiến chúng rất dễ bị tấn công. Juniper đã mua lại SSR như một phần trong danh mục WAN định nghĩa bằng phần mềm của mình vào năm 2020, và công ty này đã không thay đổi nhiều về sản phẩm, khiến cho các thông tin xác thực mặc định không bị thay đổi.
Các cổng GlobalProtect của Palo Alto Networks
Hoạt động quét:
GreyNoise đã phát hiện ra một sự gia tăng đáng kể về hoạt động quét độc hại nhắm vào các cổng VPN GlobalProtect của Palo Alto Networks. Trong một khoảng thời gian 30 ngày, gần 24,000 địa chỉ IP độc đáo đã cố gắng truy cập vào những cổng bảo mật quan trọng này, cho thấy một nỗ lực phối hợp để kiểm tra khả năng phòng thủ của mạng và xác định các hệ thống dễ bị tổn thương.
Quan ngại về lỗ hổng:
Sự gia tăng hoạt động quét làm dấy lên lo ngại lớn sau khi phát hiện ra CVE-2024-3400, một lỗ hổng nghiêm trọng cho phép kẻ tấn công chưa được xác thực thực thi mã tùy ý với quyền root trên các tường lửa bị ảnh hưởng. Lỗ hổng này đã nhận được điểm CVSS tối đa là 10.0, cho thấy độ nghiêm trọng của nó.
Phân tích kỹ thuật:
GreyNoise đã xác định ba hash fingerprint JA4h khác nhau liên quan đến công cụ quét đăng nhập, cho phép các nhóm an ninh nhận diện và liên kết các nỗ lực đăng nhập khác nhau xuất phát từ cùng một bộ công cụ. Hoạt động quét chủ yếu xuất phát từ Hoa Kỳ và Canada, với các nguồn bổ sung từ Phần Lan, Hà Lan và Nga.
Khuyến nghị
Juniper Networks:
- Cập nhật và vá lỗi: Người dùng được khuyên nên nâng cấp các thiết bị của Juniper lên các phiên bản mới nhất, bao gồm các biện pháp giảm thiểu và chữ ký được cập nhật cho Công cụ Gỡ Bỏ Phần Mềm Juniper (JMRT).
- Giám sát nâng cao: Các tổ chức cần triển khai giám sát nâng cao và thực hiện săn lùng mối đe dọa để phát hiện bất kỳ nhiễm độc nào có tiềm năng.
Palo Alto Networks:
- Xem xét nhật ký: Các tổ chức sử dụng sản phẩm của Palo Alto Networks nên ngay lập tức xem xét nhật ký của tháng Ba và áp dụng giám sát nâng cao.
- Áp dụng các bản vá bảo mật: Đảm bảo tất cả các bản vá bảo mật đã được áp dụng và xem xét việc chặn các địa chỉ IP độc hại đã được xác định.
- Săn lùng mối đe dọa: Thực hiện săn lùng mối đe dọa kỹ lưỡng để xác định bất kỳ lỗ hổng hoặc hoạt động độc hại nào có thể có.
Tóm lại, hoạt động quét hiện tại nhắm vào SSR của Juniper Networks và các cổng GlobalProtect của Palo Alto Networks là một mối đe dọa về an ninh mạng nghiêm trọng. Các tổ chức cần thực hiện ngay lập tức các hành động bằng cách nâng cấp hệ thống, áp dụng các bản vá bảo mật và nâng cao khả năng giám sát để giảm thiểu những rủi ro này.
