Selon Cyber Security News, une campagne d’exploitation active vise les portails Palo Alto Networks GlobalProtect depuis fin novembre 2025, avec un suivi par GrayNoise et Shadowserver montrant des scans et tentatives d’intrusion en provenance de plus de 7 000 IP réparties mondialement.
— Contexte et ampleur de l’attaque — • Des scans massifs et des tentatives d’exploitation ciblent les passerelles GlobalProtect exposées sur Internet, notamment via UDP 4501. Les sources incluent des proxies résidentiels, des hébergeurs bulletproof et des VPS compromis en Asie, Europe et Amérique du Nord. Un chercheur mentionne des acteurs qui enchaînent des exploits connus et recherchent des configurations faibles.
— Cibles, vulnérabilités et produits concernés — • Produit visé : Palo Alto Networks GlobalProtect (portails/gateways VPN). Des failles historiques, dont CVE-2024-3400 (injection de commandes, CVSS 9.8, patchée en avril 2024), restent exploitées sur systèmes non corrigés. Les vagues récentes tirent parti de mauvaises configurations pré-auth (ex. identifiants par défaut, portails admin exposés).
— Tactiques, techniques et procédures (TTPs) — • Énumération de portails et brute-force des connexions. • Utilisation de scripts custom imitant des modules Metasploit. • Chaining d’exploits connus avec des failles de configuration. • Déploiement de malware pour la persistance. • Exfiltration de jetons de session permettant le mouvement latéral.
— Indicateurs de compromission (IOCs) — • Pics de trafic UDP vers le port 4501. • Requêtes HTTP vers l’endpoint /global-protect/login.urd. • Dans les intrusions confirmées : exfiltration de jetons de session; surveillance recommandée de beaconing vers des C2 potentiellement hébergés sur AWS/Azure.
— Réponses et positionnements — • Palo Alto Networks publie un avis urgent (5 décembre) : activer MFA, restreindre l’exposition des portails via firewall, et appliquer les derniers correctifs. CISA aurait ajouté des IOCs liés à son catalogue Known Exploited Vulnerabilities, demandant aux agences fédérales de corriger sous 72 h. Des experts conseillent aussi segmentation zero trust, air-gap des portails critiques et surveillance des communications C2. Mandiant signale des tactiques similaires à celles de groupes affiliés à l’État chinois (UNC4841), sans attribution définitive pour cette vague.
Article de presse spécialisé visant à informer sur une campagne d’attaque en cours et relayer les avertissements/indicateurs pour la défense. 🔎
🔗 Source originale : https://cybersecuritynews.com/palo-alto-globalprotect-attacks/
🖴 Archive : https://web.archive.org/web/20251208202136/https://cybersecuritynews.com/palo-alto-globalprotect-attacks/