Một đợt scan lớn với hơn 24.000 địa chỉ IP nhắm vào cổng đăng nhập GlobalProtect của Palo Alto Networks đã được ghi nhận. Đợt scan đạt đỉnh vào ngày 17 tháng 3 năm 2025, với khoảng 20.000 IP mỗi ngày, kéo dài đến ngày 26 tháng 3. Trong số đó, 23.800 địa chỉ IP bị nghi ngờ và 154 IP đã được xác nhận là ác ý, cho thấy mục đích xấu đằng sau hoạt động này. Các cuộc tấn công chủ yếu đến từ Hoa Kỳ và Canada, nhắm vào các hệ thống tại Hoa Kỳ.
Các chuyên gia bảo mật cho biết, những đợt scan mạng quy mô lớn như thế này thường được sử dụng làm bước chuẩn bị cho các cuộc tấn công mạng trong tương lai. Đây là chiến thuật quen thuộc, khi các cuộc tấn công đã được ghi nhận trước đây có xu hướng tăng mạnh sau những đợt quét như vậy, thường trong vòng 2-4 tuần. Những cuộc tấn công này thường nhắm vào các lỗ hổng bảo mật đã có từ trước hoặc các hệ thống có tính “dễ tổn thương cao”.
Hoạt động scan trên GlobalProtect cũng có sự liên kết với một công cụ quét PAN-OS được sử dụng để tấn công các thiết bị biên. Vào ngày 26 tháng 3 năm 2025, công cụ này ghi nhận 2.580 IP, tương tự như các chiến dịch gián điệp của nhóm hacker ‘ArcaneDoor’ đã từng được Cisco Talos theo dõi vào năm ngoái. Điều này cho thấy rằng các cuộc tấn công này có thể là một phần trong chiến lược rộng lớn hơn, với các hacker nhằm vào các thiết bị và hệ thống quan trọng.
Mặc dù mục đích chính xác của các hoạt động này vẫn chưa rõ ràng, các chuyên gia bảo mật từ GreyNoise khuyến cáo các quản trị viên hệ thống của Palo Alto Networks cần phải nâng cao cảnh giác, rà soát các nhật ký hệ thống từ giữa tháng 3 và tìm kiếm dấu hiệu của các cuộc tấn công hoặc hành vi bất thường. Việc củng cố bảo mật cho các cổng đăng nhập và chặn các địa chỉ IP ác ý là một trong những biện pháp bảo vệ quan trọng, đồng thời phải duy trì cập nhật hệ thống để giảm thiểu rủi ro.
Palo Alto Networks đã xác nhận tình hình và đang theo dõi chặt chẽ các hoạt động này. Công ty cũng cam kết phân tích tác động của các cuộc tấn công tiềm tàng và đánh giá xem liệu có cần thực hiện các biện pháp giảm thiểu thêm hay không. Họ khuyến nghị khách hàng của mình duy trì việc cập nhật lên các phiên bản PAN-OS mới nhất, vì điều này sẽ giúp tăng cường bảo mật và giảm thiểu các mối đe dọa.
