GlobalProtect di Palo Alto Networks è sotto scansioni Attive.

cybersecurity@poliverso.org

GlobalProtect di Palo Alto Networks è sotto scansioni Attive. Abilitate la MFA!

Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali VPN GlobalProtect di Palo Alto Networks.

Il 5 dicembre Palo Alto Networks ha emesso un avviso urgente, esortando i clienti ad adottare l’autenticazione a più fattori (MFA), a limitare l’esposizione del portale tramite firewall e ad applicare le patch più recenti.

In base alle risultanze del report sulle attività di monitoraggio condotto da GrayNoise, che ha rilevato scansioni e sforzi di sfruttamento condotti da oltre 7.000 indirizzi IP unici a livello globale, le organizzazioni che utilizzano la popolare soluzione VPN per garantire la sicurezza del lavoro remoto sono state messe in allarme.

Targeting osservato da Ip (Fonte: GreyNoise)

A partire dalla fine di novembre 2025, sono stati rilevati attacchi che sfruttano le vulnerabilità dei gateway GlobalProtect, soprattutto quelle accessibili pubblicamente attraverso la porta UDP 4501.

GlobalProtect di Palo Alto Networks è da tempo un obiettivo primario a causa della sua onnipresenza negli ambienti aziendali. Difetti storici, come CVE-2024-3400 (una vulnerabilità critica di command injection, risolta nell’aprile 2024 con punteggio CVSS 9,8), continuano a perseguitare i sistemi non ancora patchati.

Le ondate recenti sfruttano configurazioni errate che consentono l’accesso pre-autenticazione, incluse credenziali predefinite o portali di amministrazione esposti. Gli aggressori utilizzano strumenti come script personalizzati che imitano i moduli Metasploit per enumerare i portali, effettuare accessi con forza bruta e rilasciare malware per la persistenza.

Secondo i dati di Shadowserver e di altri feed di intelligence sulle minacce, le fonti IP comprendono proxy residenziali, provider di hosting Bulletproof e istanze VPS compromesse in Asia, Europa e Nord America.

Gli indicatori di compromissione includono picchi anomali di traffico UDP sulla porta 4501, seguiti da richieste HTTP agli endpoint /global-protect/login.urd. Nelle violazioni confermate, gli intrusi hanno esfiltrato token di sessione, consentendo il movimento laterale nelle reti aziendali.

L'articolo GlobalProtect di Palo Alto Networks è sotto scansioni Attive. Abilitate la MFA! proviene da Red Hot Cyber.

Citiverse

Navigazione

Account

Navigazione

Account

GlobalProtect di Palo Alto Networks è sotto scansioni Attive.

Ladro ingoia l’uovo #Fabergé tempestato di diamanti di James Bond e fugge: “Ci sono voluti sei giorni prima che lo espellesse e la polizia recuperasse il gioiello”.

A Sophisticated New Threat: FvncBot Strikes Again #CyberSecurity https://securebulletin.com/a-sophisticated-new-threat-fvncbot-strikes-again/

The town of Fastiv in Kyiv Oblast is under massive russian attack for the third night in a row!

Ora il canale Telegram LibreCaffè ha anche un sito dedicato, le iscrizioni sono sempre aperte!

SECURITY AFFAIRS #MALWARE #NEWSLETTER ROUND 74https://securityaffairs.com/185422/cyber-crime/security-affairs-malware-newsletter-round-74.html#securityaffairs #hacking

The US State Department is offering a $10 million reward for an Iranian couple who works for a contractor for Iran's Islamic Revolutionary Guard Corps Cyber-Electronic Command (IRGC-CEC).

A Chinese think tank has published a hit piece on seven cybersecurity and policy experts specializing in Chinese cyber operations

Stiamo notando un notevole aumento di account/bot filorussi