Alerta de Rede: Scans em Portais da Palo Alto Networks Explodem
Administradores de sistema, preparem o café e reforcem as defesas. A empresa de inteligência em cibersegurança GreyNoise emitiu um comunicado que está fazendo muito firewall trabalhar dobrado: foi detectado um aumento massivo de 500% no volume de varreduras suspeitas mirando os portais de login GlobalProtect e PAN-OS, da Palo Alto Networks. Essa atividade, que atingiu seu pico em 3 de outubro com mais de 1.285 endereços IP únicos, é um forte indicativo de uma fase de reconhecimento, que muitas vezes funciona como o prelúdio para ataques mais direcionados e complexos.
A Anatomia de uma Varredura em Massa
Para colocar os números em perspectiva, o volume diário de varreduras em portais da Palo Alto Networks normalmente não ultrapassa 200 endereços distintos. O salto para 1.285 IPs representa uma anomalia estatística impossível de ignorar. Segundo a análise da GreyNoise, 91% desses endereços de IP foram classificados como 'suspeitos', enquanto outros 7% já foram diretamente rotulados como 'maliciosos'. Pense nesses scans como batedores em um campo de batalha digital, mapeando o terreno e as defesas antes da chegada da cavalaria.
A origem dessa atividade também desenha um mapa interessante. A maioria dos IPs observados foi geolocalizada nos Estados Unidos, com grupos menores operando a partir do Reino Unido, Países Baixos, Canadá e Rússia. A GreyNoise identificou dois clusters de atividade principais: um com foco em alvos nos EUA e outro concentrado no Paquistão, ambos exibindo 'impressões digitais TLS' distintas, mas com alguma sobreposição, o que sugere uma operação coordenada.
Reconhecimento Dirigido: Uma Diplomacia às Avessas
O que torna este evento particularmente preocupante é sua natureza direcionada. De acordo com o relatório da GreyNoise, “quase toda a atividade foi direcionada aos perfis emulados da Palo Alto” pela empresa, indicando que não se trata de ruído aleatório na internet. É como se os atacantes estivessem enviando 'diplomatas' – os IPs de varredura – para bater na porta dos sistemas da Palo Alto, não para negociar, mas para verificar se a fechadura é fraca e se alguém está em casa. Essa inteligência provavelmente foi coletada a partir de bancos de dados públicos, como Shodan e Censys, ou por meio de varreduras proprietárias dos próprios atacantes para identificar dispositivos da Palo Alto Networks conectados à internet.
Déjà Vu? O Histórico da GreyNoise
Esse tipo de alerta da GreyNoise costuma ter peso. A empresa recorda que emitiu um aviso semelhante sobre um aumento de varreduras em dispositivos Cisco ASA. Duas semanas depois, foi revelada a existência de uma vulnerabilidade zero-day que estava sendo ativamente explorada em ataques contra o mesmo produto. No entanto, a própria GreyNoise pondera que, no caso recente envolvendo a Palo Alto Networks, a correlação observada é 'mais fraca'. Ainda assim, o precedente serve como um lembrete severo de que onde há fumaça, pode haver fogo.
A Resposta da Palo Alto Networks: 'Estamos Seguros'
Diante do alerta, a Palo Alto Networks se manifestou oficialmente. Em um comunicado enviado ao BleepingComputer, a empresa afirmou: “A segurança de nossos clientes é sempre nossa principal prioridade. Investigamos a atividade de varredura relatada e não encontramos evidências de um comprometimento.” A companhia também expressou confiança em sua postura de segurança, destacando o uso da sua própria plataforma Cortex XSIAM, que, segundo eles, interrompe 1,5 milhão de novos ataques diariamente e processa 36 bilhões de eventos de segurança. “Continuamos confiantes em nossa robusta postura de segurança e em nossa capacidade de proteger nossa rede”, concluiu o porta-voz.
Enquanto Isso, no Ecossistema Grafana...
Como um lembrete de que o ecossistema tecnológico é um campo minado, a GreyNoise também observou um aumento nas tentativas de exploração de uma antiga vulnerabilidade de path traversal no Grafana (CVE-2021-43798), explorada como zero-day em dezembro de 2021. Em 28 de setembro, foram observados 110 IPs maliciosos únicos, a maioria de Bangladesh, lançando ataques contra alvos principalmente nos EUA, Eslováquia e Taiwan. A recomendação para os administradores é garantir que suas instâncias do Grafana estejam devidamente atualizadas.
Conclusão: Vigilância Constante
O episódio serve como um poderoso sinal de alerta para a comunidade de segurança. Embora a Palo Alto Networks não tenha encontrado evidências de comprometimento, um aumento de 500% na atividade de reconhecimento não pode ser subestimado. Para os administradores de rede, a mensagem é clara: o diálogo entre sistemas pode ser amigável, mas nem todos os 'endpoints' que batem à sua porta têm boas intenções. Monitorar logs, verificar configurações e manter uma postura de segurança proativa são as melhores políticas em um cenário onde a próxima grande ameaça pode estar, literalmente, a uma varredura de distância.
{{ comment.name }}
{{ comment.comment }}