حذّر باحثون في الأمن السيبراني من زيادة ملحوظة في أنشطة المسح الضارة لبوابات Palo Alto Networks PAN-OS GlobalProtect، حيث حاول ما يقرب من 24,000 عنوان IP فريد الوصول إلى هذه البوابات.
وقالت شركة GreyNoise المتخصصة في استخبارات التهديدات: “تشير هذه الأنماط إلى جهود منسقة لاختبار دفاعات الشبكات وتحديد الأنظمة المعرّضة أو الضعيفة، ربما تمهيدًا لاستغلالها لاحقًا.”
تفاصيل الهجوم:
- بدأت الموجة الهجومية في 17 مارس 2025، ووصلت إلى ذروتها بـ 23,958 عنوان IP يوميًا قبل أن تتراجع في 26 مارس.
- من بين العناوين المشاركة، تم تصنيف 154 عنوانًا فقط على أنها ضارة.
- الولايات المتحدة وكندا تصدرتا مصادر الهجوم، تليهما فنلندا، هولندا، وروسيا.
- أكثر الأنظمة المستهدفة كانت في الولايات المتحدة، المملكة المتحدة، أيرلندا، روسيا، وسنغافورة.
دوافع محتملة واستجابة الشركات:
لا يزال الدافع وراء هذه الهجمات غير واضح، لكنها قد تكون اختبارًا ممنهجًا لدفاعات الشبكات كتمهيد لاستغلال ثغرات مستقبلية.
وصرح بوب روديس، نائب رئيس علوم البيانات في GreyNoise: “خلال الـ18 إلى 24 شهرًا الماضية، لاحظنا أنماطًا متكررة لاستهداف ثغرات قديمة أو محاولات استطلاع ضد تقنيات محددة، وغالبًا ما تسبق اكتشاف ثغرات جديدة بعد 2 إلى 4 أسابيع.”
ونصحت Palo Alto Networks عملاءها بتحديث أنظمتهم، قائلة: “فرقنا تراقب الوضع عن كثب، وننصح جميع العملاء بتشغيل أحدث إصدارات PAN-OS.”
تحذيرات إضافية:
كشفت GreyNoise أيضًا عن زيادة في الهجمات ضد أجهزة F5، Ivanti، Linksys، SonicWall، Zoho ManageEngine، وZyxel بدءًا من 28 مارس 2025، مما يشير إلى محاولات استغلال محتملة.
توصيات أمنية:
- تحديث الأنظمة بآخر التصحيحات الأمنية.
- مراقبة حركة الشبكة لاكتشاف أي نشاط غير طبيعي.
- حظر العناوين الضارة المعروفة.
يجب على المؤسسات التي تستخدم بوابات GlobalProtect تعزيز إجراءات الأمن لتفادي أي استغلال محتمل.
