パロアルトネットワークスへの大規模スキャン急増
サイバーセキュリティ企業GreyNoiseは、パロアルトネットワークスのログインポータルを標的とした不審なスキャンが大幅に増加していると警告しました。これは、攻撃者が偵察活動を強化している明確な兆候であると指摘されています。
GreyNoiseの報告によると、パロアルトネットワークスのGlobalProtectおよびPAN-OSプロファイルを標的とするIPアドレスが500%も増加しました。この活動は10月3日にピークを迎え、1,285を超えるユニークなIPアドレスが関与しました。通常、1日のスキャン数は200アドレスを超えることはありません。
スキャン活動の詳細
観測されたIPアドレスのほとんどは米国に地理的に位置しており、その他に英国、オランダ、カナダ、ロシアにも小規模なクラスターが見られました。活動クラスターの一つは米国を標的とし、もう一つはパキスタンに集中しており、これらは「異なるTLSフィンガープリントを持つが、重複もある」と研究者は述べています。
GreyNoiseによると、IPアドレスの91%が「不審」と分類され、さらに7%が「悪意がある」とタグ付けされました。この活動はGreyNoiseがエミュレートしたパロアルトプロファイル(Palo Alto GlobalProtect、Palo Alto PAN-OS)にほぼ全て向けられており、これは公開情報(Shodan、Censysなど)や攻撃者によるスキャンから得られた、パロアルトデバイスをフィンガープリントする標的型活動であることを示唆しています。
スキャン活動の背景と警告
GreyNoiseは以前から、このようなスキャン活動がゼロデイまたはNデイの脆弱性を悪用した攻撃の準備段階であることが多いと警告してきました。最近では、Cisco ASAデバイスを標的としたネットワークスキャンの増加について警告を発し、その2週間後にCisco製品を標的としたゼロデイ脆弱性が攻撃に悪用されたというニュースが報じられました。
しかし、今回のパロアルトネットワークス製品を標的としたスキャンについては、Ciscoの事例ほど相関関係は強くないとGreyNoiseは述べています。
Grafanaの脆弱性も標的に
研究者たちはまた、Grafanaの古いパス・トラバーサル脆弱性(CVE-2021-43798)に対する悪用試行の増加も確認しました。この脆弱性は2021年12月にゼロデイ攻撃で悪用されたものです。
GreyNoiseは、9月28日にバングラデシュを拠点とする110のユニークな悪意あるIPアドレスが攻撃を開始したことを観測しました。主な標的は米国、スロバキア、台湾であり、攻撃は特定の発生源に応じて一貫した標的比率を維持しており、これは通常、自動化された攻撃であることを示しています。
管理者への推奨事項
GreyNoiseは、管理者に対し以下の対策を推奨しています。
- GrafanaインスタンスがCVE-2021-43798に対してパッチが適用されていることを確認する。
- 特定された110の悪意あるIPアドレスをブロックする。
- ログをチェックし、機密ファイルを返す可能性のあるパス・トラバーサル要求の証拠がないか確認する。