概要
複数のVPNプラットフォームを標的とした自動化されたパスワードスプレー攻撃キャンペーンが確認されました。この攻撃は、Palo Alto NetworksのGlobalProtectおよびCiscoのSSL VPNに対して、認証情報ベースの試行として観測されています。
攻撃の詳細
脅威監視プラットフォームのGreyNoiseは、2025年12月11日にGlobalProtectポータルに対するログイン試行が16時間で170万回に達したと報告しました。この攻撃は、以下の特徴を持っています:
- 発信元IPアドレス: 10,000を超えるユニークなIPアドレス
- 標的地域: 米国、メキシコ、パキスタン
- 主要な発信元: 3xK GmbH(ドイツ)のIPスペース
- 攻撃手法: 一般的なユーザー名とパスワードの組み合わせを再利用したスクリプト化された認証情報プロービング
- ユーザーエージェント: 自動化されたログインアクティビティでは珍しいFirefoxユーザーエージェント
GreyNoiseは、「この活動は、露呈または保護の弱いGlobalProtectポータルを特定するために設計された、スクリプト化された認証情報プロービングを示唆している」と説明しています。
Cisco SSL VPNへの攻撃
翌日の12月12日には、同じホスティングプロバイダー(3xK GmbH)から、同じTCPフィンガープリントを持つ活動がCisco SSL VPNのエンドポイントに対するプロービングを開始しました。GreyNoiseが監視するユニークな攻撃IP数は、通常200未満であったベースラインから1,273に急増しました。
この活動は、過去12週間でCisco SSL VPNに対する3xKホストIPの大規模な使用としては初めてのものであり、CSRF処理を含む通常のSSL VPN認証フローに従っていることから、エクスプロイトではなく、自動化された認証情報攻撃であることが示されています。
Ciscoのゼロデイ脆弱性について
Ciscoは先日、最大深刻度のゼロデイ脆弱性(CVE-2025-20393)がCisco AsyncOSで活発に悪用されていると顧客に警告しました。これはSecure Email Gateway (SEG) およびSecure Email and Web Manager (SEWM) アプライアンスに影響を与えます。しかし、GreyNoiseは、今回のVPN攻撃活動とCVE-2025-20393との関連性は確認されていないと強調しています。
ベンダーの対応と推奨事項
Palo Alto Networksの広報担当者はBleepingComputerに対し、この活動を認識していることを確認しました。同社は、これが認証情報ベースの自動化されたプロービングであり、同社の環境の侵害や脆弱性の悪用ではないと述べています。
推奨事項:
- Palo Alto Networks: ユーザーに対し、強力なパスワードの使用と多要素認証(MFA)の導入を推奨しています。
- GreyNoise: 管理者に対し、ネットワークアプライアンスの監査、予期せぬログイン試行の監視、既知の悪意あるIPアドレスのブロックを勧告しています。