威脅情報公司GreyNoise發布報告指出，近期觀察到一波針對企業VPN解決方案的惡意掃描和登入嘗試活動。攻擊者主要鎖定兩大目標：Palo Alto Networks的GlobalProtect入口網站，試圖執行憑證暴力破解攻擊；以及SonicWall的SonicOS API端點，進行廣泛的漏洞掃描。此次攻擊規模龐大，活動自12月2日開始，源自超過7,000個IP位址，這些IP地址隸屬於一家名為3xK GmbH的德國IT公司基礎設施。GreyNoise證實，此攻擊活動並非利用新的零日漏洞，而是專注於透過大規模掃描，識別配置錯誤或使用弱密碼的基礎設施，為未來的惡意攻擊做準備。

 

攻擊活動細節與進程

本次攻擊的特徵在於其針對性的轉向與一致的客戶端指紋使用。

威脅情報公司 GreyNoise 在本週的一份報告中稱，有攻擊活動針對 Palo Alto GlobalProtect 入口網站，嘗試登入並針對 SonicWall SonicOS API 端點發動掃描活動。該攻擊者最初以暴力破解和登入嘗試為目標攻擊 GlobalProtect 門戶，然後轉向掃描 SonicWall API 端點。

據 GreyNoise 稱，GlobalProtect 登入嘗試的目標是該公司感測器網路中的兩個配置文件，目的是被動捕獲掃描和利用活動。

研究人員表示，這次攻擊使用了先前在 9 月下旬至 10 月中旬記錄的掃描嘗試中發現的三個客戶指紋。11月中旬，GreyNoise 也觀察到 3xK Tech GmbH 的基礎設施對 GlobalProtect VPN 入口網站進行了 230 萬次掃描會話的偵測活動。12 月 3 日，在針對 SonicWall SonicOS API 的掃描活動中發現了相同的三個指紋。

針對這些端點的惡意掃描通常是為了識別漏洞和錯誤配置， GreyNoise 先前指出，這些掃描還有助於發現暴露的基礎設施，以便為可能出現的漏洞做好準備。因此，建議防禦人員監控與此類活動相關的 IP 位址並將其封鎖。

此外，建議監控身份驗證表面是否存在異常速度/重複失敗，追蹤重複出現的客戶端指紋，並使用動態的、上下文感知的阻止而不是靜態信譽清單。

這些證據使得GreyNoise能夠自信地將11月中旬和12月初的兩波活動歸因於同一個攻擊者。

 

廠商確認與威脅性質

針對這波活動，Palo Alto Networks證實，他們確實偵測到針對GlobalProtect介面的掃描活動有所增加，並進一步澄清該活動「代表基於憑證的攻擊，而不是軟體漏洞的利用」。該公司強調，其內部遙測數據和Cortex XSIAM保護措施確認，此次活動並未對Palo Alto的產品或服務構成實質性入侵或損害。雖然威脅活動並非利用新漏洞，但其大規模、持續性的登入嘗試，對未實施多重身份驗證（MFA）的企業構成直接風險。

 

綜合防禦建議

面對這種持續性的、以憑證竊取為導向的惡意活動，資安團隊必須採取主動且多層次的防禦策略：

1. 強制實施MFA： 根據Palo Alto Networks的建議，客戶應立即為所有GlobalProtect使用者啟用並強制實施多重身份驗證（MFA），以保護帳戶免受憑證濫用和暴力破解的攻擊。這是抵禦此類威脅最有效的第一道防線。

2. 監控與阻擋可疑IP： 嚴格監控並封鎖與此類惡意掃描活動相關的IP位址。特別是那些在短時間內產生大量失敗登入嘗試的來源。

3. 動態識別與追蹤指紋： 安全團隊應特別注意身份驗證介面上的異常流量、重複登入失敗，以及追蹤重複出現的「客戶端指紋」（例如TCP/JA4t指紋），利用動態、上下文感知的阻止機制，而非僅依賴於靜態的黑名單。

4. 檢查SonicWall配置： 對於使用SonicWall SonicOS API的企業，應確保所有API端點均已正確配置，無暴露於公共網路的風險，並保持作業系統及API端點為最新版本，以防範任何已知的漏洞或配置錯誤被攻擊者利用。

註：
GlobalProtect 是 Palo Alto Networks 防火牆平台的 VPN 和遠端存取元件，由大型企業、政府機構和服務供應商使用。

資料來源：https://www.bleepingcomputer.com/news/security/new-wave-of-vpn-login-attempts-targets-palo-alto-globalprotect-portals/