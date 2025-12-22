I ricercatori di GreyNoise hanno rilevato un attacco di password spraying contro le infrastrutture di autenticazione di alcune VPN aziendali, in particolare quelle di Cisco e Palo Alto Networks. I cybercriminali cercano di effettuare l’accesso ed eseguire varie attività, tra cui spionaggio e furto di informazioni sensibili.

Oltre 1,7 milioni di tentativi

L’attacco è iniziato l’11 dicembre. Gli esperti di GreyNoise hanno rilevato oltre 1,7 milioni di tentativi di login ai portali di Palo Alto Networks GlobalProtect in 16 ore. Il traffico proveniva da oltre 10.000 indirizzi IP della Germania, quindi sembra un attacco centralizzato e non distribuito. I bersagli principali erano i portali che si trovano in Messico, Pakistan e Stati Uniti.

La tecnica del password spraying prevede l’uso della forza bruta automatizzata per tentare di accedere agli account utilizzando combinazioni di username e password comuni (spesso riutilizzate per vari servizi). La maggioranza delle richieste è arrivata da un user agent di Firefox.

Considerando user agent, struttura delle richieste e tempistica, GreyNoise ipotizza l’uso di script per identificare i portali GlobalProtect esposti o scarsamente protetti.

Il giorno successivo (12 dicembre) sono stati rilevati attacchi effettuati dagli stessi indirizzi IP contro gli endpoint di Cisco SSL VPN. Anche in questo caso, l’user agent era di Firefox. Lo scopo è sempre quello di accedere agli account delle VPN aziendali.

Cisco non ha rilasciato commenti, mentre un portavoce di Palo Alto Networks ha dichiarato:

Siamo a conoscenza dell’attività basata sulle credenziali segnalata da GreyNoise che prende di mira i gateway VPN, inclusi i portali GlobalProtect. Questa attività riflette un’analisi automatizzata delle credenziali e non costituisce una compromissione del nostro ambiente né uno sfruttamento di alcuna vulnerabilità di Palo Alto Networks.

GreyNoise consiglia di usare password robuste e l’autenticazione multi-fattore. L’accesso agli account VPN può essere sfruttato per impersonificare un dipendente, effettuare uno spionaggio industriale e rubare dati riservati.