СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.12.2025
#ИБ

Массовые автоматизированные атаки на VPN GlobalProtect, Cisco, PAN-OS

За последние сутки исследователи безопасности зафиксировали масштабную и скоординированную кампанию атак на основе учетных данных, цель которой — VPN-инфраструктуры крупных вендоров. Атаки были направлены на шлюзы Cisco и Palo Alto Networks, в частности на порталы GlobalProtect и устройства под управлением PAN-OS.

Что произошло

По данным GreyNoise, за промежуток в ~16 часов злоумышленники сгенерировали порядка 1,7 миллиона сеансов, направленных на эмулированные профили GlobalProtect и PAN-OS. Попытки автоматического входа отличались высокой однородностью: атакующие использовали стандартные, часто встречающиеся комбинации логинов и паролей.

«За 16 часов было сгенерировано около 1,7 миллиона сеансов, направленных на эмулированные профили GlobalProtect и PAN-OS», — сообщает GreyNoise.

Характер атак

  • Большой объём: ~1,7 млн сеансов за 16 часов, что указывает на использование автоматизированных сканеров и брутфорс-скриптов.
  • Однородность попыток: применялись распространённые словарные комбинации логинов/паролей, что характерно для credential stuffing и классического брутфорса.
  • Маскировка автоматизации: многие запросы имели одинаковые характеристики, в частности user‑agent Firefox — нетипично для массовых автоматизированных попыток. Это свидетельствует о попытках скрыть автоматизированный характер действий, возможно, чтобы избежать сигнатурного детектирования.
  • Целевая платформа: основное внимание уделялось порталам GlobalProtect и сервисам на PAN-OS, а также общим VPN-шлюзам Cisco и Palo Alto Networks.

Почему это опасно

VPN-шлюз — критическая точка входа в корпоративную сеть. Успешный подбор учетных данных позволяет злоумышленнику:

  • получить удалённый доступ к внутренним ресурсам;
  • расширить привилегии и перемещаться по сети;
  • обойти perimeter‑защиту и затруднить обнаружение вторжения.

Особая опасность заключается в том, что массовые, но замаскированные автоматизированные попытки сложнее отлавливать привычными средствами корреляции логов и блокировками по простым сигнатурам.

Рекомендации для защиты

Специалистам по кибербезопасности рекомендуется немедленно внедрить и усилить следующие меры:

  • Включить и требовать MFA для всех VPN‑входов. MFA остаётся наиболее эффективной мерой против компрометации учетных данных.
  • Мониторинг аномалий входа: настраивать алерты при резком увеличении количества неудачных попыток, при попытках входа с новых геолокаций или при массовых попытках с одинаковыми user‑agent.
  • Ограничение доступа к порталам VPN: разрешать подключение только с доверенных IP/сетей, использовать allow‑lists и VPN concentrator в DMZ.
  • Rate limiting и блокировка по репутации: ограничивать частоту попыток входа, подключать сервисы IP‑reputation и блокировать известные злоумышленнические сетки.
  • Политика надёжных паролей: требовать сложные пароли, запрет reuse и регулярную смену, а также внедрять защиту от common passwords на уровне аутентификации.
  • Журналирование и корреляция логов: обеспечить централизованный сбор логов VPN, IDS/IPS и SIEM‑корреляцию для быстрого выявления паттернов атак.
  • Обновления и hardening: поддерживать актуальные версии PAN-OS и Cisco‑ПО, применять рекомендации вендора по hardening, отключать неиспользуемые сервисы и интерфейсы.

Немедленные шаги по реагированию

  • Активировать дополнительные мониторинговые правила и установить пороговые алерты на всплески попыток входа.
  • Провести ревизию активных сессий и принудительно завершить подозрительные соединения.
  • Временно ограничить доступ к порталам управления и VPN с публичных IP, если это возможно.
  • Проинформировать администраторов и пользователей о повышенном риске фишинга и credential stuffing, рекомендовать смену паролей при подозрении на компрометацию.

Вывод

Зафиксированная кампания демонстрирует, что атаки на VPN продолжают оставаться приоритетной целью злоумышленников. Масштаб и методы маскировки автоматизации требуют от организаций незамедлительных действий по усилению контроля доступа и мониторинга. Внедрение MFA, строгих политик паролей, rate limiting и централизованной корреляции логов значительно снизит риск успешной компрометации VPN‑шлюзов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: