HackerNews 编译,转载请注明出处:
GreyNoise 查明,三项分别针对思科与帕洛阿尔托网络防火墙、飞塔虚拟专用网络(VPN)的漏洞利用行动,其攻击 IP 均来自相同子网。
这家威胁情报公司最初于 9 月初发出警告,称监测到针对思科 ASA 设备(自适应安全设备,常用于防火墙与 VPN 功能)的扫描尝试 —— 而大约三周后,思科才披露了两个影响 “安全防火墙自适应安全设备(ASA)” 和 “安全防火墙威胁防御(FTD)” 软件的零日漏洞。
这两个漏洞的编号分别为CVE-2025-20333(CVSS 评分 9.9,属于极高风险)和CVE-2025-20362(CVSS 评分 6.5,属于中高风险),已被 “ArcaneDoor” 间谍行动利用。
上周,GreyNoise 又发布警告,指出针对帕洛阿尔托网络 “GlobalProtect”(全球保护,一款远程访问 VPN 解决方案)登录入口的扫描活动大幅增加,且参与该活动的 “唯一自治系统编号(ASN,用于标识互联网中的网络服务提供商或网络段)” 数量也显著上升。
该网络安全公司观察到,短短两天内,相关扫描活动激增 500%,攻击来源涉及约 1300 个独立 IP。随后几天,随着更多威胁者加入,参与攻击的独立 IP 数量迅速攀升至 2200 个。
在过去一周内,GreyNoise 监测到针对帕洛阿尔托网络防火墙的独立登录尝试超过 130 万次,并已公布该攻击行动中使用的凭证(用户名与密码组合)列表。
本周四,GreyNoise 进一步警告称:针对思科与帕洛阿尔托网络防火墙的扫描行动,其 IP 来源与针对飞塔 VPN 的暴力破解攻击 IP 同属相同子网 —— 这意味着三类攻击存在关联。
GreyNoise 表示:“飞塔 VPN 暴力破解尝试激增后,通常会在六周内出现飞塔 VPN 漏洞的披露。基于这些发现,建议阻断所有对飞塔 SSL VPN 发起暴力破解的 IP,并考虑加强防火墙与 VPN 设备的防御措施。”
事实上,GreyNoise 指出:针对知名厂商防火墙与 VPN 产品的攻击活动若出现激增,约 80% 的情况下,这都是一个早期预警信号 —— 意味着这些产品的新漏洞可能在未来六周内被披露。
此次针对思科、飞塔、帕洛阿尔托网络设备的三项攻击行动,存在三大关键关联特征:使用相同的 TCP 指纹(TCP 协议通信时的独特特征,可用于识别攻击工具或来源)、利用相同子网、在相似时间段内出现活动高峰。
GreyNoise 强调:“我们高度确信,这三项攻击行动至少在一定程度上由同一(或同一批)威胁者主导。”
目前,该公司已同步公布了飞塔 VPN 攻击行动中使用的凭证列表。
消息来源:securityweek;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
