Palo Alto Networks 门户网站的扫描活动一天内激增 500%

威胁情报公司 GreyNoise周五透露，它发现针对 Palo Alto Networks 登录门户的扫描活动激增。

该公司表示，其观察到2025年10月3日扫描Palo Alto Networks登录门户的IP地址数量增长了近500% ，创下过去三个月的最高纪录。该公司称，这些流量具有针对性和结构性，主要针对Palo Alto登录门户。

参与此次行动的唯一 IP 地址多达 1,300 个，较之前观察到的约 200 个唯一 IP 地址大幅增加。在这些 IP 地址中，93% 被归类为可疑 IP 地址，7% 被归类为恶意 IP 地址。

绝大多数 IP 地址位于美国，在英国、荷兰、加拿大和俄罗斯检测到较小的集群。

DFIR 保留服务
GreyNoise 指出：“此次帕洛阿尔托攻击激增与过去 48 小时内发生的思科 ASA 扫描事件有着一些共同的特征。在这两种情况下，扫描器都表现出区域聚集现象，并且所使用的工具指纹识别也存在重叠。”

“过去 48 小时内，Cisco ASA 和 Palo Alto 登录扫描流量都共享与荷兰基础设施相关的主要 TLS 指纹。”

2025 年 4 月，GreyNoise报告了针对 Palo Alto Networks PAN-OS GlobalProtect 网关的类似可疑登录扫描活动，促使该网络安全公司敦促客户确保他们运行的是最新版本的软件。


这一进展是在 GreyNoise于 2025 年 7 月在其早期预警信号报告中指出的那样，恶意扫描、暴力破解或漏洞利用尝试激增之后，通常会在六周内披露影响同一技术的新 CVE。

9月初，Greynoise警告称，早在8月底就发生了针对思科自适应安全设备 (ASA) 设备的可疑扫描。第一波攻击来自超过 25,100 个 IP 地址，主要位于巴西、阿根廷和美国。

CIS 构建套件
几周后，思科披露了思科 ASA 中的两个新的零日漏洞（CVE-2025-20333 和 CVE-2025-20362），这两个漏洞已被现实世界的攻击利用来部署RayInitiator 和 LINE VIPER等恶意软件系列。

Shadowserver Foundation 的数据显示，超过 45,000 个 Cisco ASA/FTD 实例仍然容易受到这两个漏洞的影响，其中超过 20,000 个位于美国，约 14,000 个位于欧洲。