Atividade de varredura nos portais da Palo Alto Networks aumenta 500% em um único dia

A Palo Alto Networks se tornou alvo de uma intensa atividade de varredura em seus portais de login, registrando um aumento alarmante de quase 500% em apenas um dia. A revelação veio da empresa de inteligência de ameaças GreyNoise na sexta-feira, dia 3 de outubro de 2025, indicando uma mobilização coordenada e estruturada de hackers em potencial.

O pico de varredura, o maior observado nos últimos três meses, envolveu cerca de 1.300 endereços IP exclusivos, um salto drástico em comparação com a média anterior de aproximadamente 200. De acordo com a GreyNoise, o tráfego foi claramente "direcionado e estruturado" para os portais de login da empresa de segurança. A análise dos IPs mostrou que 93% são classificados como suspeitos e 7% como maliciosos, sugerindo uma ampla rede de possíveis invasores envolvidos. Embora a grande maioria dos endereços IP esteja geolocalizada nos Estados Unidos, grupos menores também foram detectados no Reino Unido, Holanda, Canadá e Rússia.

A GreyNoise notou uma forte semelhança entre este incidente e a varredura direcionada aos dispositivos Cisco ASA que ocorreu nas 48 horas anteriores. "Este aumento repentino em Palo Alto compartilha características com a varredura do Cisco ASA," afirmou a GreyNoise, destacando o agrupamento regional e a sobreposição de fingerprints nas ferramentas utilizadas pelos scanners. A empresa ressaltou que "tanto o tráfego de verificação de login do Cisco ASA quanto o da Palo Alto nas últimas 48 horas compartilham uma fingerprint TLS dominante ligada à infraestrutura na Holanda."

O histórico de incidentes recentes reforça a preocupação. Em abril de 2025, a GreyNoise já havia relatado uma atividade suspeita semelhante de varredura de login, visando os gateways PAN-OS GlobalProtect da Palo Alto Networks.

Essa situação levou a empresa a emitir um alerta para que seus clientes garantissem a execução das versões mais recentes do software. A correlação entre varreduras e a subsequente descoberta de vulnerabilidades críticas é um padrão perigoso: o relatório Early Warning Signals da GreyNoise, de julho de 2025, aponta que surtos de varredura maliciosa, força bruta ou tentativas de exploração são frequentemente seguidos pela divulgação de uma nova vulnerabilidade CVE afetando a mesma tecnologia dentro de seis semanas.

Um exemplo dramático desse padrão ocorreu em setembro, quando um alerta da GreyNoise sobre varreduras suspeitas direcionadas aos dispositivos Cisco Adaptive Security Appliance (ASA) foi seguido semanas depois pela Cisco divulgando dois zero-days (CVE-2025-20333 e CVE-2025-20362). Essas vulnerabilidades estavam sendo ativamente exploradas para a implantação de malwares como RayInitiator e LINE VIPER. Atualmente, a Shadowserver Foundation estima que mais de 45.000 instâncias do Cisco ASA/FTD ainda estejam vulneráveis a esses exploits.

Em resposta ao aumento da atividade de varredura, a Palo Alto Networks assegurou que não foram encontrados sinais de comprometimento em sua infraestrutura. "A segurança dos nossos clientes é sempre a nossa maior prioridade," declarou um porta-voz da empresa. "Investigamos a atividade de varredura relatada e não encontramos evidências de comprometimento."

A empresa enfatizou que sua própria plataforma Cortex XSIAM protege sua infraestrutura, bloqueando diariamente cerca de 1,5 milhão de novos ataques e reduzindo de forma autônoma 36 bilhões de eventos de segurança às ameaças mais críticas. A Palo Alto Networks reafirmou a confiança em sua "sólida postura de segurança" e capacidade de proteger sua rede, mesmo diante de um volume tão incomum de varreduras.

Via - THN