Palo Alto Networks製品への不審なスキャンが500%増加
サイバーセキュリティインテリジェンス企業GreyNoiseの報告によると、Palo Alto NetworksのGlobalProtectおよびPAN-OSプロファイルを標的とした不審なスキャンが500%も急増していることが明らかになりました。この活動は10月3日にピークを迎え、通常200未満であるユニークIPアドレスが1,285以上に達しました。
観測されたIPアドレスのほとんどは米国に地理的に配置されており、その他に英国、オランダ、カナダ、ロシアにも小規模なクラスターが見られました。GreyNoiseは、活動の91%が不審、7%が悪意のあるものと分類しています。この活動は、公開されている情報源(Shodan、Censysなど)や攻撃者によるスキャンから得られたPalo Altoデバイスのフィンガープリントに由来する、標的型である可能性が高いと指摘されています。
過去の事例と今回の関連性
GreyNoiseは以前から、このようなスキャン活動がゼロデイまたはNデイの脆弱性を利用した攻撃の準備段階であることが多いと警告しています。最近では、Cisco ASAデバイスを標的としたネットワークスキャンの増加について警告を発した後、実際にそのCisco製品を標的としたゼロデイ脆弱性が悪用されたというニュースが報じられました。
しかし、今回のPalo Alto Networks製品を標的としたスキャンについては、GreyNoiseは過去のCiscoの事例と比較して、観測された相関関係は「弱い」と述べています。
Grafanaの古い脆弱性も標的に
研究者たちはまた、Grafanaの古いパス・トラバーサル脆弱性(CVE-2021-43798)に対する悪用試行の増加も確認しました。この脆弱性は2021年12月にゼロデイ攻撃で悪用されたものです。
GreyNoiseは9月28日に、バングラデシュを拠点とする110のユニークな悪意のあるIPアドレスが攻撃を開始したことを観測しました。主な標的は米国、スロバキア、台湾で、攻撃は特定の発生源に応じて一貫した標的比率を維持しており、これは自動化された活動を示唆しています。
管理者への推奨事項
- GrafanaのインスタンスがCVE-2021-43798に対してパッチが適用されていることを確認してください。
- 特定された110の悪意のあるIPアドレスをブロックしてください。
- 機密ファイルを返す可能性のあるパス・トラバーサル要求がないか、ログをチェックしてください。