Security Affairs relaie une analyse de GreyNoise signalant un pic inhabituel de scans dirigés vers les portails de connexion Palo Alto Networks le 3 octobre 2025, au plus haut niveau des trois derniers mois.
-
🚨 Chiffres clés: 1 285 IPs ont scanné les portails Palo Alto (vs ~200 habituellement). 93% des IPs sont jugées « suspectes », 7% « malveillantes ».
-
🌍 Répartition: majorité des sources depuis les États-Unis, avec des grappes plus petites au Royaume-Uni, Pays-Bas, Canada et Russie. Les scans visent des profils Palo Alto émulés, avec un focus notable sur des systèmes situés aux États-Unis et au Pakistan.
-
🎯 Nature de l’activité: trafic ciblé et structuré, réparti en clusters de scan distincts, indiquant une reconnaissance coordonnée contre des portails de login Palo Alto. GreyNoise note des surges concomitants sur d’autres services d’accès distant, sans certitude de lien.
-
🔗 Similarités avec Cisco ASA: l’activité Palo Alto miroite celle observée récemment sur Cisco ASA, avec un clustering régional et une empreinte TLS dominante commune, rattachée à une infrastructure aux Pays-Bas. Des outils similaires semblent employés, suggérant une infrastructure ou des opérateurs partagés. Ce chevauchement intervient après une vague de scans ASA ayant précédé la divulgation de deux zero-days ASA.
-
📈 Contexte et suite: GreyNoise avait noté en juillet que des pics de scans Palo Alto avaient parfois précédé la révélation de nouvelles failles sous six semaines. Les chercheurs surveillent si ce nouveau pic annonce une future divulgation. GreyNoise développe une liste de blocage IP dynamique pour aider les défenseurs à réagir plus vite.
IOCs observables:
- Empreinte TLS dominante associée à une infrastructure aux Pays-Bas (détails non fournis).
TTPs:
- Reconnaissance/scanning ciblant des portails de connexion et services d’accès distant.
- Clustering d’IP et campagnes coordonnées.
- Ciblage de profils Palo Alto émulés.
- Similarité d’outils et empreintes TLS partagées entre campagnes (Palo Alto / Cisco ASA).
Type d’article: Analyse de menace synthétisant des observations de trafic et des corrélations d’infrastructure.
🧠 TTPs et IOCs détectés
TTPs
Reconnaissance/scanning ciblant des portails de connexion et services d’accès distant. Clustering d’IP et campagnes coordonnées. Ciblage de profils Palo Alto émulés. Similarité d’outils et empreintes TLS partagées entre campagnes (Palo Alto / Cisco ASA).
IOCs
Empreinte TLS dominante associée à une infrastructure aux Pays-Bas (détails non fournis).
🔗 Source originale : https://securityaffairs.com/182939/hacking/greynoise-detects-500-surge-in-scans-targeting-palo-alto-networks-portals.html