Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Làn sóng tấn công mới nhắm vào các cổng thông tin GlobalProtect của Palo Alto

15:02 | 09/12/2025
Hữu Tài

Một chiến dịch tấn công mới được phát hiện nhắm vào các cổng thông tin Palo Alto GlobalProtect, với các nỗ lực đăng nhập và khởi chạy hoạt động rà quét đối với các điểm cuối API SonicWall SonicOS.

GlobalProtect là thành phần VPN và truy cập từ xa của nền tảng tường lửa Palo Alto Networks, được các doanh nghiệp lớn, cơ quan chính phủ và nhà cung cấp dịch vụ sử dụng. Hoạt động này bắt đầu vào ngày 02/12 và xuất phát từ hơn 7.000 địa chỉ IP từ cơ sở hạ tầng do doanh nghiệp 3xK GmbH (Đức) vận hành.

Công ty tình báo mối đe dọa GreyNoise cho biết trong một báo cáo rằng, ban đầu tin tặc nhắm mục tiêu vào các cổng thông tin GlobalProtect bằng cách tấn công Brute Force và đăng nhập, sau đó chuyển sang rà quét các điểm cuối API của SonicWall.

Số lượng địa chỉ IP điều khiển các cuộc tấn công

Theo GreyNoise, các nỗ lực đăng nhập GlobalProtect nhắm vào hai hồ sơ trong mạng cảm biến của công ty để thu thập thụ động hoạt động rà quét và khai thác. Các nhà nghiên cứu cho biết đợt tăng đột biến này sử dụng dấu vân tay từ ba dịch vụ khách hàng đã được quan sát trước đó trong các lần rà quét từ cuối tháng 9 đến giữa tháng 10/2025.

Hoạt động trước đây bắt nguồn từ bốn ASN không có tiền sử hoạt động độc hại, tạo ra hơn 9 triệu phiên HTTP không thể giả mạo, chủ yếu nhắm vào các cổng thông tin GlobalProtect. Vào giữa tháng 11, GreyNoise quan sát thấy hoạt động từ cơ sở hạ tầng của 3xK Tech GmbH đang thăm dò các cổng VPN GlobalProtect với 2,3 triệu phiên rà quét. Hầu hết các IP tấn công (62%) đều nằm ở Đức và sử dụng cùng dấu vân tay TCP/JA4t. Dựa trên các chỉ số được phân tích, công ty nhận định rằng cả hai hoạt động này đều do cùng một tác nhân thực hiện.

Vào ngày 3/12, ba dấu vân tay giống nhau đã được phát hiện trong hoạt động rà quét nhắm vào SonicWall SonicOS API.

Hoạt động rà quét SonicWall

Hành vi rà quét độc hại nhắm vào các điểm cuối này thường được thực hiện để xác định lỗ hổng và cấu hình sai. GreyNoise trước đây đã lưu ý những lần rà quét này cũng có thể giúp tác nhân đe dọa phát hiện cơ sở hạ tầng tồn tại điểm yếu để chuẩn bị cho việc khai thác các lỗ hổng tiềm ẩn trong tương lai.

Vì lý do này, các tổ chức được khuyến nghị nên theo dõi các IP liên quan đến loại hoạt động này và chặn chúng. Ngoài ra, nên theo dõi các bề mặt xác thực để phát hiện tốc độ bất thường/lỗi lặp lại, theo dõi dấu vân tay khách hàng định kỳ và sử dụng tính năng chặn động, nhận biết theo ngữ cảnh thay vì danh sách tĩnh.

Palo Alto Networks cho biết họ phát hiện hoạt động rà quét tăng cường nhắm vào giao diện GlobalProtect và xác nhận “đây là các cuộc tấn công dựa trên thông tin xác thực, chứ không phải là khai thác lỗ hổng phần mềm”. Palo Alto Networks khuyến cáo khách hàng nên áp dụng xác thực đa yếu tố (MFA) để bảo vệ thông tin đăng nhập khỏi bị lạm dụng.

Twitter Zalo Facebook YouTube Copy Link QR Code
PALO ALTO NETWORKS TẤN CÔNG RÀ QUÉT SONICWALL VPN ĐIỂM CUỐI GLOBALPROTECT
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết