Az elmúlt hetekben a Palo Alto Networks belépési portáljai (GlobalProtect és PAN-OS web login) körül szokatlan forgalmi mintázatot észleltek a biztonsági kutatók. 2025 október első napjaiban drasztikusan megnőtt az ezekre a felületekre irányuló szkennelési aktivitás, amely méretében és szervezettségében is túlmutat a megszokott háttérzajon. A legtöbb észlelést a GreyNoise jelentette, amely adatelemzései alapján egy több mint ötszörös növekedést dokumentált a Palo Alto login-portokra célzott lekérdezésekben.
A forgalom nem véletlenszerű, hanem erősen célzott és automatizált jellegű: az érintett IP-k nagy része azonos vagy nagyon hasonló TLS fingerprinteket használ, ami arra utal, hogy a támadók közös infrastruktúráról, egységes szkennelési keretrendszerrel dolgoznak. A hálózati mintázatok arra engednek következtetni, hogy a folyamat nem egyszerű bruteforce kísérletsorozat, hanem egy felderítő művelet, amelynek célja a portálok elérhetőségének, verzióinak és potenciális konfigurációs gyengeségeinek feltérképezése.
A mai kiberhadviselésben a szkennelés már nem öncélú támadási próbálkozás, hanem az információs előny megszerzésének egyik kulcslépése. A támadók a felderítő fázisban törekszenek arra, hogy:
- azonosítsák a publikus interfészeket és az azok mögött futó szoftververziókat,
- térképezzék a válaszidőket, protokoll szinteket és tanúsítványláncokat,
- észleljék, ha egy adott portál sandbox, honeypot vagy valódi eszköz,
- begyűjtsék azokat a metaadatokat, amelyek alapján később a támadást személyre (vagy verzióra) szabhatják.
Az ilyen jellegű tömeges szkennelések gyakran előzik meg egy új, publikus vagy még nem nyilvános (zero-day) sebezhetőség kihasználását. Az elmúlt években számos példa volt erre: hasonló aktivitás jelent meg közvetlenül a Citrix ADC, majd a MOVEit Transfer exploitok publikálása előtt is. E mintázat alapján a mostani Palo Alto-eset akár egy új sebezhetőség „bevezető fázisának” is tekinthető.
A GreyNoise és a Palo Alto belső elemzései alapján a támadó IP-k több mint 90%-a kompromittált vagy proxy szolgáltatás mögül érkezett. Az aktív címek jelentős hányada az Egyesült Államokhoz kötődik, de kimutathatók európai és orosz források is, ami egy elosztott, több régióban futó botnet-szerű infrastruktúrára utal. Az egységes TLS fingerprint-ek és a hasonló User-Agent-stringek alapján a szakértők feltételezik, hogy a támadók automatizált Python-alapú szkripteket, vagy módosított masscan-/zgrab-rendszert használnak. Az eszközök a portálok elérhetőségét, HTTPS válaszait, tanúsítványait és http fejléceit is gyűjtik, így később ezek alapján könnyen megállapítható, mely rendszerek futnak még régebbi PAN-OS verziókon. A Palo Alto ugyanakkor közölte, hogy eddig semmilyen közvetlen támadási vagy kompromittálási kísérletet nem észleltek, és a szkennelési tevékenység nem bizonyít valódi betörést. Ennek ellenére a cég is elismerte, hogy az ilyen felderítések a későbbi célzott támadások előkészítésének részét képezhetik.
A biztonsági kutatók szerint a jelenlegi aktivitás nem önmagában veszélyes, hanem azért, mert nagy mennyiségű metaadatot szolgáltat a támadóknak a védelmi infrastruktúrákról. Ezek az adatok később, akár hetek múlva új exploitokkal kombinálva rendkívül értékessé válhatnak. A login portálok különösen kockázatosak, mert közvetlen kapcsolatban állnak a vállalati hálózatok belső azonosítási rendszerével, így egy sikeres exploit a teljes hitelesítési láncot veszélyeztetheti. A szkennelés intenzitásából, az IP eloszlásból és a fingerprint mintákból a szakértők arra következtetnek, hogy a célzott rendszerek főként nagyvállalati, felhő- vagy távmunka-infrastruktúrákhoz kapcsolódhatnak, vagyis olyan környezetekhez, ahol a peremvédelmi eszköz egyben belépési kapu is. A Palo Alto által publikált adatok szerint a Cortex XSIAM napi 1,5 millió potenciális támadási eseményt regisztrál, amelyből automatikus korrelációval és viselkedéselemzéssel azonnal kiszűri a valóban kockázatos anomáliákat. Ez jól mutatja, hogy a korszerű védelmi rendszerek már nem szignatúra alapú védelemmel, hanem adattömeg-analízissel és prediktív modellezéssel operálnak.