كشفت شركة GreyNoise المتخصصة في استخبارات التهديدات عن ارتفاع هائل في نشاط المسح الشبكي الذي يستهدف بوابات تسجيل الدخول الخاصة بشركة Palo Alto Networks، حيث شهد يوم 3 أكتوبر 2025 زيادة بنسبة تقارب 500% في عدد عناوين IP التي تقوم بعمليات المسح، وهو أعلى مستوى تم رصده خلال الأشهر الثلاثة الماضية. وأشارت الشركة إلى أن هذا النشاط كان مستهدفًا ومنظمًا، موجّهًا تحديدًا نحو بوابات تسجيل الدخول التابعة لـ Palo Alto.
تفاصيل العناوين ومناطق الاستهداف
أوضحت البيانات أن نحو 1,300 عنوان IP فريد شارك في هذه الأنشطة، مقارنةً بـ200 عنوان فقط في الأيام السابقة، مع تصنيف 93% منها على أنها مشبوهة و7% على أنها خبيثة. وتبيّن أن الغالبية العظمى من هذه العناوين مصدرها الولايات المتحدة، مع تجمعات أقل في المملكة المتحدة وهولندا وكندا وروسيا. كما لفتت GreyNoise إلى تشابه هذا النشاط مع موجة المسح الأخيرة التي استهدفت بوابات Cisco ASA خلال الساعات الـ48 السابقة، حيث أظهرت كلتا الحملتين تشابهًا في البصمة الرقمية لبروتوكول TLS وارتباطًا ببنية تحتية في هولندا.
خلفية فنية وتحذيرات سابقة
كانت GreyNoise قد رصدت في أبريل 2025 نشاطًا مماثلًا استهدف بوابات GlobalProtect الخاصة بـ PAN-OS من Palo Alto Networks، مما دفع الشركة إلى حثّ عملائها على تحديث أنظمتهم إلى أحدث الإصدارات لضمان الحماية من الاستغلالات المحتملة. وتشير تقارير الشركة إلى أن الارتفاع المفاجئ في أنشطة المسح أو محاولات القوة الغاشمة (Brute Force) غالبًا ما يتبعه خلال ستة أسابيع الإعلان عن ثغرة جديدة (CVE) في التقنية ذاتها، مما يجعل الموجة الحالية مؤشرًا مبكرًا لاحتمال ظهور ثغرة جديدة في بوابات Palo Alto.
ارتباط محتمل بالهجمات على Cisco
يتزامن هذا التصعيد مع تحذيرات سابقة من GreyNoise في أغسطس الماضي بشأن عمليات مسح مشبوهة استهدفت أجهزة Cisco ASA، والتي انطلقت من أكثر من 25 ألف عنوان IP أغلبها في البرازيل والأرجنتين والولايات المتحدة. وبعد أسابيع فقط، أعلنت شركة Cisco عن اكتشاف واستغلال ثغرتين صفريّتي اليوم (CVE-2025-20333 وCVE-2025-20362)، استُخدمتا في هجمات فعلية لنشر برمجيات خبيثة مثل RayInitiator وLINE VIPER. وتشير بيانات Shadowserver Foundation إلى أن أكثر من 45 ألف جهاز من طرازي Cisco ASA وFTD ما زالت عرضة لهاتين الثغرتين، من بينها 20 ألف جهاز في الولايات المتحدة و14 ألفًا في أوروبا.