Koordineret angrebskampagne mod netværksenheder fra Cisco, Fortinet og Palo Alto Networks
Trusselsaktører udnytter sårbarheder i netværksenheder fra tre af de mest udbredte leverandører – Cisco, Fortinet og Palo Alto Networks – i en tilsyneladende koordineret kampagne. Det viser nye analyser fra GreyNoise, som har identificeret fælles infrastruktur bag angrebene.
Det skriver Security Week og Bleeping Computer.
GreyNoise har observeret, at scanninger og brute force-angreb mod Cisco ASA-firewalls, Fortinet VPN-løsninger og Palo Alto Networks GlobalProtect-portaler stammer fra IP-adresser på samme subnet. Derudover deler kampagnerne TCP-fingerprints og viser aktivitet i samme tidsrum, hvilket indikerer en fælles aktør eller tæt koordination.
Det har fået GreyNoise til at vurdere, at alle tre kampagner i det mindste delvist er igangsat og drives af samme trusselsaktør(er).
0-dage udnyttet før offentliggørelse
Angrebene mod Cisco ASA-enheder begyndte allerede i starten af september, tre uger før Cisco offentliggjorde to sårbarheder. Begge sårbarheder er blevet udnyttet i forbindelse med ArcaneDoor, en cyberspionagekampagne med formodet oprindelse i Kina.
Sårbarhederne er følgende: EUVD-2025-31140 / CVE-2025-20333 (CVSS 9.9, EPSS 0,63 pct.) og EUVD-2025-31139/ CVE-2025-20362 (CVSS 6.5, EPSS 9,5 pct)
Ift Palo Alto Networks har GreyNoise registreret over 1,3 millioner unikke loginforsøg mod GlobalProtect-portaler. Antallet af involverede IP-adresser steg fra 1.300 til 2.200 på blot få dage, hvilket tyder på bred aktørinvolvering, skriver Security Week. En liste over anvendte legitimationsoplysninger er blevet offentliggjort.
Derudover er brute force-angreb mod Fortinet SSL VPN-løsninger er steget markant. GreyNoise bemærker, at sådanne spikes ofte går forud for offentliggørelse af nye sårbarheder med op til seks ugers mellemrum.
Det kan tyde på at noget er i gærde, hvorfor det anbefales, at organisationer med netværksenheder fra Cisco, Fortinet eller Palo Alto Networks gennemgår og opdaterer relevant firmware og software.