Bedreigingsinformatiebedrijf Greynoise heeft vrijdag bekendgemaakt dat het een piek heeft waargenomen in scanactiviteit gericht op Palo Alto Networks inlogportals.
Het bedrijf zei dat het een toename van bijna 500% in IP -adressen scannen Palo Alto Networks Login Portals op 3 oktober 2025 waargenomen, het hoogste niveau dat in de afgelopen drie maanden werd geregistreerd. Het beschreef het verkeer als gericht en gestructureerd en was voornamelijk gericht op Palo Alto -inlogportals.
Maar liefst 1.300 unieke IP -adressen hebben deelgenomen aan de inspanning, een aanzienlijke sprong van ongeveer 200 unieke IP -adressen die eerder zijn waargenomen. Van deze IP -adressen wordt 93% geclassificeerd als verdacht en 7% als kwaadaardig.
De overgrote meerderheid van de IP -adressen is geoloceerd naar de VS, met kleinere clusters gedetecteerd in het VK, Nederland, Canada en Rusland.
“Deze Palo Alto Surge deelt kenmerken met Cisco ASA -scanning die in de afgelopen 48 uur plaatsvindt,” merkte Greynoise op. “In beide gevallen vertoonden de scanners regionale clustering en vingerafdrukkende overlapping in de gebruikte gereedschap.”
“Zowel Cisco ASA als Palo Alto Login -scanverkeer in de afgelopen 48 uur delen een dominante TLS -vingerafdruk die is gekoppeld aan infrastructuur in Nederland.”
In april 2025 meldde Greynoise een vergelijkbare verdachte inlogscanactiviteit gericht op Palo Alto Networks Pan-OS GlobalProtect-gateways, waardoor het netwerkbeveiligingsbedrijf klanten aanspoort om ervoor te zorgen dat ze de nieuwste versies van de software uitvoeren.
De ontwikkeling komt zoals Greynoise opgemerkt in zijn vroege waarschuwingssignalen rapport in juli 2025 dat schommelt in kwaadwillende scannen, brute-forcing of exploitatiepogingen worden vaak gevolgd door de openbaarmaking van een nieuw CVE dat dezelfde technologie binnen zes weken beïnvloedt.
Begin september waarschuwde Greynoise voor verdachte scans die al eind augustus plaatsvonden, gericht op Cisco Adaptive Security Appliance (ASA) -apparaten. De eerste golf was afkomstig van meer dan 25.100 IP -adressen, voornamelijk gelegen in Brazilië, Argentinië en de VS
Weken later onthulde Cisco twee nieuwe zero-days in Cisco ASA (CVE-2025-20333 en CVE-2025-20362) die was benut in real-world aanvallen om malwarefamilies zoals Rayinitiator en Line Viper te implementeren.
Uit gegevens van de Shadowerver Foundation blijkt dat meer dan 45.000 Cisco ASA/FTD -instanties, waaruit meer dan 20.000 in de VS zijn gevestigd en ongeveer 14.000 in Europa zijn gevestigd, nog steeds vatbaar zijn voor de twee kwetsbaarheden.
