Selon BleepingComputer, une campagne automatisée cible plusieurs plateformes VPN, avec des attaques basées sur les identifiants observées contre Palo Alto Networks GlobalProtect et Cisco SSL VPN.

Une campagne automatisée de credential stuffing à grande échelle cible actuellement plusieurs solutions VPN d’entreprise, notamment Palo Alto Networks GlobalProtect et Cisco SSL VPN. Les attaques reposent sur des tentatives d’authentification massives utilisant des identifiants réutilisés ou faibles, sans exploitation de vulnérabilité logicielle connue.

🔍 Détails techniques de la campagne

Date d’observation initiale : 11 décembre

Pic d’activité :

Jusqu’à 1,7 million de tentatives de connexion sur GlobalProtect en 16 heures

Plus de 10 000 adresses IP uniques impliquées

Cibles géographiques :

Infrastructures situées aux États-Unis, Mexique et Pakistan

Origine du trafic malveillant :

Principalement depuis l’AS de 3xK GmbH (Allemagne), suggérant une infrastructure cloud centralisée

User-Agent observé :

Firefox, inhabituel pour ce type d’automatisation à cette échelle

GreyNoise indique que la régularité des requêtes, leur structure et leur timing pointent vers une activité scriptée, destinée à identifier des portails VPN exposés avec des protections faibles.

🎯 Extension de la campagne à Cisco SSL VPN

Date : 12 décembre

Hausse brutale à 1 273 IPs uniques (contre <200 en temps normal)

Première campagne de cette ampleur visant Cisco SSL VPN depuis cet hébergeur au cours des 12 dernières semaines

Les tentatives suivent les flux d’authentification normaux, incluant la gestion des CSRF tokens

Aucun lien identifié avec :

CVE-2025-20393 (zero-day Cisco AsyncOS récemment divulgué)

🛑 Impact et risques

Pas d’exploitation de vulnérabilité logicielle

Risque élevé de compromission de comptes VPN si :

mots de passe faibles ou réutilisés

absence de MFA

Accès VPN compromis = pivot potentiel vers :

accès réseau interne

mouvements latéraux

déploiement ultérieur de ransomware ou d’espionnage

🛠️ Recommandations de sécurité

Éditeurs

Palo Alto Networks confirme l’activité mais indique qu’il ne s’agit pas d’un problème produit

Mesures recommandées

Activer l’authentification multifacteur (MFA) sur tous les accès VPN

Imposer des mots de passe forts et uniques

Auditer les journaux d’authentification VPN

Restreindre l’accès d’administration aux réseaux internes de confiance

Bloquer ou limiter les IPs connues pour des tentatives automatisées

Mettre en place des seuils de détection de tentatives de connexion anormales

🧠 Conclusion

Cette campagne illustre une pression constante sur les points d’entrée VPN, non pas par exploitation de failles zero-day, mais via des attaques opportunistes à grande échelle. Elle rappelle que l’hygiène d’authentification reste un maillon critique, même lorsque les équipements sont à jour et correctement configurés.

Cet article est une alerte de sécurité visant à informer sur une campagne en cours ciblant des solutions VPN d’entreprise.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-password-spraying-attacks-target-cisco-pan-vpn-gateways/