Công ty tình báo mối đe dọa GreyNoise đã tiết lộ vào thứ Sáu rằng họ đã quan sát thấy sự gia tăng hoạt động quét nhắm vào các cổng đăng nhập của Palo Alto Networks.
Công ty cho biết họ đã ghi nhận mức tăng gần 500% số lượng địa chỉ IP quét các cổng đăng nhập của Palo Alto Networks vào ngày 3 tháng 10 năm 2025, mức cao nhất được ghi nhận trong ba tháng qua. Hoạt động này được mô tả là có mục tiêu và có cấu trúc, chủ yếu nhắm vào các cổng đăng nhập của Palo Alto.
Có tới 1.300 địa chỉ IP duy nhất đã tham gia vào nỗ lực này, một bước nhảy vọt đáng kể so với khoảng 200 địa chỉ IP duy nhất được quan sát trước đó. Trong số các địa chỉ IP này, 93% được phân loại là đáng ngờ và 7% là độc hại.
Phần lớn các địa chỉ IP được định vị địa lý tại Hoa Kỳ, với các cụm nhỏ hơn được phát hiện ở Vương quốc Anh, Hà Lan, Canada và Nga.
"Sự gia tăng hoạt động nhắm vào Palo Alto này có những đặc điểm tương đồng với việc quét Cisco ASA xảy ra trong 48 giờ qua," GreyNoise lưu ý. "Trong cả hai trường hợp, các máy quét đều cho thấy sự phân cụm theo khu vực và sự trùng lặp về dấu vân tay trong các công cụ được sử dụng."
"Cả lưu lượng quét đăng nhập Cisco ASA và Palo Alto trong 48 giờ qua đều chia sẻ một dấu vân tay TLS chiếm ưu thế gắn liền với cơ sở hạ tầng ở Hà Lan."
Vào tháng 4 năm 2025, GreyNoise đã báo cáo một hoạt động quét đăng nhập đáng ngờ tương tự nhắm vào các cổng PAN-OS GlobalProtect của Palo Alto Networks, thúc đẩy công ty bảo mật mạng này kêu gọi khách hàng đảm bảo rằng họ đang chạy các phiên bản phần mềm mới nhất.
Sự phát triển này diễn ra khi GreyNoise đã lưu ý trong báo cáo Tín hiệu cảnh báo sớm vào tháng 7 năm 2025 rằng các đợt gia tăng quét độc hại, brute-forcing, hoặc các nỗ lực exploit thường được theo sau bởi việc công bố một CVE mới ảnh hưởng đến cùng một công nghệ trong vòng sáu tuần.
Đầu tháng 9, GreyNoise đã cảnh báo về các đợt quét đáng ngờ xảy ra vào cuối tháng 8, nhắm mục tiêu vào các thiết bị Cisco Adaptive Security Appliance (ASA). Đợt đầu tiên bắt nguồn từ hơn 25.100 địa chỉ IP, chủ yếu ở Brazil, Argentina và Hoa Kỳ.
Vài tuần sau, Cisco đã tiết lộ hai zero-day mới trong Cisco ASA (CVE-2025-20333 và CVE-2025-20362) đã bị exploit trong các cuộc tấn công thực tế để triển khai các họ mã độc như RayInitiator và LINE VIPER.
Dữ liệu từ Shadowserver Foundation cho thấy rằng hơn 45.000 phiên bản Cisco ASA/FTD, trong đó hơn 20.000 nằm ở Hoa Kỳ và khoảng 14.000 nằm ở Châu Âu, vẫn dễ bị tấn công bởi hai lỗ hổng này.
