GreyNoise เผย พบการสแกน GlobalProtect VPN Portal เพิ่มขึ้น 40 เท่าภายใน 24 ชั่วโมง

GreyNoise บริษัทวิเคราะห์ภัยคุกคามทางไซเบอร์รายงานพบกิจกรรมสแกนที่มุ่งเป้าไปยัง Palo Alto Networks GlobalProtect VPN login portal เพิ่มขึ้น 40 เท่าภายใน 24 ชั่วโมง ซึ่งเป็นระดับสูงสุดในรอบ 90 วัน

Credit: ShutterStock.com

กิจกรรมการสแกนที่น่าสงสัยเริ่มเพิ่มขึ้นตั้งแต่วันที่ 14 พฤศจิกายน 2025 และพุ่งสูงขึ้นอย่างรวดเร็วภายในหนึ่งสัปดาห์ ระหว่างวันที่ 14-19 พฤศจิกายน GreyNoise ตรวจพบ session การสแกน 2.3 ล้าน session ที่พุ่งเป้าไปยัง URI */global-protect/login.esp ซึ่งเป็น endpoint สำหรับการ authentication ของผู้ใช้งาน VPN บน Palo Alto PAN-OS และ GlobalProtect โดยการโจมตีส่วนใหญ่มุ่งเป้าไปยังสหรัฐอเมริกา เม็กซิโก และปากีสถาน

จากการวิเคราะห์พบว่ากิจกรรมนี้เชื่อมโยงกับแคมเปญที่ผ่านมาจาก TCP/JA4t fingerprint ที่ซ้ำกัน มีการใช้ ASN เดิม และ timing ของกิจกรรมที่สอดคล้องกัน ASN (Autonomous System Numbers) หลักที่ใช้ในการโจมตีคือ AS200373 (3xK Tech GmbH) โดย 62% ของ IP address มาจากเยอรมนี และ 15% มาจากแคนาดา ทั้งนี้เดือนตุลาคมที่ผ่านมา GreyNoise เคยรายงานการเพิ่มขึ้น 500% ของ IP address ที่สแกน GlobalProtect และ PAN-OS โดย 91% ถูกจัดว่าเป็น suspicious และอีก 7% เป็น malicious อย่างชัดเจน

GreyNoise แนะนำให้ block การโจมตีเหล่านี้และติดตามเป็น malicious probe แทนที่จะมองข้ามว่าเป็นเพียงความพยายามโจมตีที่ล้มเหลว เนื่องจากสถิติแสดงให้เห็นว่าการสแกนเหล่านี้มักเกิดขึ้นก่อนการเปิดเผยช่องโหว่ใหม่ถึง 80% โดยเฉพาะกับผลิตภัณฑ์ของ Palo Alto Networks ที่ปีนี้มีการใช้ช่องโหว่ CVE-2025-0108 ซึ่งต่อมาถูกใช้ร่วมกับ CVE-2025-0111 และ CVE-2024-9474 ในการโจมตีจริง องค์กรที่ใช้งาน GlobalProtect ควรเพิ่มความระมัดระวังและติดตาม security advisory อย่างใกล้ชิด

ที่มา: https://www.bleepingcomputer.com/news/security/globalprotect-vpn-portals-probed-with-23-million-scan-sessions/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

AskMe ตอกย้ำมาตรฐานการให้บริการระดับสากล ด้วย ISO/IEC 27001 และ ISO/IEC 20000-1 พร้อมยกระดับการให้บริการด้วย Enterprise Service Platform เพื่อธุรกิจยุคดิจิทัล [PR]

ในยุคที่องค์กรกำลังเร่งขับเคลื่อน Digital Transformation ความต้องการด้านเทคโนโลยีไม่ได้จำกัดอยู่เพียงแค่ “ระบบที่ใช้งานได้” อีกต่อไป แต่ยังรวมถึงความมั่นคงปลอดภัยของข้อมูล ความน่าเชื่อถือของบริการ และความสามารถในการรองรับการดำเนินงานทางธุรกิจได้อย่างต่อเนื่อง

เตรียมพร้อม MFA กับ SendQuick เมื่อ Multi-factor Authentication กลายเป็นวาระเร่งด่วน!

ต้นเหตุของ Data Breach กว่าครึ่งมาจากบัญชีผู้ใช้งานถูกขโมยหรือรั่วไหลออกไป สู่ข้อมูลหลายล้าน Record ที่ถูกปล่อยให้ดาวน์โหลดได้ผ่าน Dark Web อย่างไม่ยากเย็น ด้วยเหตุนี้เององค์กรใดๆจึงต้องมีมาตรการปกป้องตัวตนอีกชั้นหนึ่งที่เรียกว่า Multi-factor Authentication (MFA) ซึ่งได้รับการยอมรับว่าช่วยลดเหตุถูกขโมยบัญชีได้อย่างมีนัยสำคัญ