Attacco password spraying contro infrastrutture VPN
Topic
Approfondimenti
Trending
tutti

Attacco password spraying contro infrastrutture VPN

Le infrastrutture VPN di Palo Alto Networks e Cisco sono state colpite da un attacco di password spraying con lo scopo di accedere agli account.
Attacco password spraying contro infrastrutture VPN
Sicurezza
Le infrastrutture VPN di Palo Alto Networks e Cisco sono state colpite da un attacco di password spraying con lo scopo di accedere agli account.
Google AI Studio

I ricercatori di GreyNoise hanno rilevato un attacco di password spraying contro le infrastrutture di autenticazione di alcune VPN aziendali, in particolare quelle di Cisco e Palo Alto Networks. I cybercriminali cercano di effettuare l’accesso ed eseguire varie attività, tra cui spionaggio e furto di informazioni sensibili.

Oltre 1,7 milioni di tentativi

L’attacco è iniziato l’11 dicembre. Gli esperti di GreyNoise hanno rilevato oltre 1,7 milioni di tentativi di login ai portali di Palo Alto Networks GlobalProtect in 16 ore. Il traffico proveniva da oltre 10.000 indirizzi IP della Germania, quindi sembra un attacco centralizzato e non distribuito. I bersagli principali erano i portali che si trovano in Messico, Pakistan e Stati Uniti.

La tecnica del password spraying prevede l’uso della forza bruta automatizzata per tentare di accedere agli account utilizzando combinazioni di username e password comuni (spesso riutilizzate per vari servizi). La maggioranza delle richieste è arrivata da un user agent di Firefox.

Considerando user agent, struttura delle richieste e tempistica, GreyNoise ipotizza l’uso di script per identificare i portali GlobalProtect esposti o scarsamente protetti.

Il giorno successivo (12 dicembre) sono stati rilevati attacchi effettuati dagli stessi indirizzi IP contro gli endpoint di Cisco SSL VPN. Anche in questo caso, l’user agent era di Firefox. Lo scopo è sempre quello di accedere agli account delle VPN aziendali.

Cisco non ha rilasciato commenti, mentre un portavoce di Palo Alto Networks ha dichiarato:

Siamo a conoscenza dell’attività basata sulle credenziali segnalata da GreyNoise che prende di mira i gateway VPN, inclusi i portali GlobalProtect. Questa attività riflette un’analisi automatizzata delle credenziali e non costituisce una compromissione del nostro ambiente né uno sfruttamento di alcuna vulnerabilità di Palo Alto Networks.

GreyNoise consiglia di usare password robuste e l’autenticazione multi-fattore. L’accesso agli account VPN può essere sfruttato per impersonificare un dipendente, effettuare uno spionaggio industriale e rubare dati riservati.

Fonte: Bleeping Computer

Pubblicato il 22 dic 2025

Link copiato negli appunti

Ti potrebbe interessare

VerificaTruffa: tool offline dopo attacchi informatici

VerificaTruffa: tool offline dopo attacchi informatici
Fermata la rete internazionale delle truffe sentimentali

Fermata la rete internazionale delle truffe sentimentali
Suite di cybersecurity a marzo: il nuovo mese inizia con l'offerta di Surfshark

Suite di cybersecurity a marzo: il nuovo mese inizia con l'offerta di Surfshark
La sicurezza prima di tutto, ma accessibile: Antivirus Top 2026 in promo su Amazon

La sicurezza prima di tutto, ma accessibile: Antivirus Top 2026 in promo su Amazon
VerificaTruffa: tool offline dopo attacchi informatici

VerificaTruffa: tool offline dopo attacchi informatici
Fermata la rete internazionale delle truffe sentimentali

Fermata la rete internazionale delle truffe sentimentali
Suite di cybersecurity a marzo: il nuovo mese inizia con l'offerta di Surfshark

Suite di cybersecurity a marzo: il nuovo mese inizia con l'offerta di Surfshark
La sicurezza prima di tutto, ma accessibile: Antivirus Top 2026 in promo su Amazon

La sicurezza prima di tutto, ma accessibile: Antivirus Top 2026 in promo su Amazon
Luca Colantuoni
Pubblicato il
22 dic 2025
Link copiato negli appunti