GreyNoise เผย พบการสแกน GlobalProtect VPN Portal เพิ่มขึ้น 40 เท่าภายใน 24 ชั่วโมง

GreyNoise บริษัทวิเคราะห์ภัยคุกคามทางไซเบอร์รายงานพบกิจกรรมสแกนที่มุ่งเป้าไปยัง Palo Alto Networks GlobalProtect VPN login portal เพิ่มขึ้น 40 เท่าภายใน 24 ชั่วโมง ซึ่งเป็นระดับสูงสุดในรอบ 90 วัน

กิจกรรมการสแกนที่น่าสงสัยเริ่มเพิ่มขึ้นตั้งแต่วันที่ 14 พฤศจิกายน 2025 และพุ่งสูงขึ้นอย่างรวดเร็วภายในหนึ่งสัปดาห์ ระหว่างวันที่ 14-19 พฤศจิกายน GreyNoise ตรวจพบ session การสแกน 2.3 ล้าน session ที่พุ่งเป้าไปยัง URI */global-protect/login.esp ซึ่งเป็น endpoint สำหรับการ authentication ของผู้ใช้งาน VPN บน Palo Alto PAN-OS และ GlobalProtect โดยการโจมตีส่วนใหญ่มุ่งเป้าไปยังสหรัฐอเมริกา เม็กซิโก และปากีสถาน

จากการวิเคราะห์พบว่ากิจกรรมนี้เชื่อมโยงกับแคมเปญที่ผ่านมาจาก TCP/JA4t fingerprint ที่ซ้ำกัน มีการใช้ ASN เดิม และ timing ของกิจกรรมที่สอดคล้องกัน ASN (Autonomous System Numbers) หลักที่ใช้ในการโจมตีคือ AS200373 (3xK Tech GmbH) โดย 62% ของ IP address มาจากเยอรมนี และ 15% มาจากแคนาดา ทั้งนี้เดือนตุลาคมที่ผ่านมา GreyNoise เคยรายงานการเพิ่มขึ้น 500% ของ IP address ที่สแกน GlobalProtect และ PAN-OS โดย 91% ถูกจัดว่าเป็น suspicious และอีก 7% เป็น malicious อย่างชัดเจน

GreyNoise แนะนำให้ block การโจมตีเหล่านี้และติดตามเป็น malicious probe แทนที่จะมองข้ามว่าเป็นเพียงความพยายามโจมตีที่ล้มเหลว เนื่องจากสถิติแสดงให้เห็นว่าการสแกนเหล่านี้มักเกิดขึ้นก่อนการเปิดเผยช่องโหว่ใหม่ถึง 80% โดยเฉพาะกับผลิตภัณฑ์ของ Palo Alto Networks ที่ปีนี้มีการใช้ช่องโหว่ CVE-2025-0108 ซึ่งต่อมาถูกใช้ร่วมกับ CVE-2025-0111 และ CVE-2024-9474 ในการโจมตีจริง องค์กรที่ใช้งาน GlobalProtect ควรเพิ่มความระมัดระวังและติดตาม security advisory อย่างใกล้ชิด

ที่มา: https://www.bleepingcomputer.com/news/security/globalprotect-vpn-portals-probed-with-23-million-scan-sessions/