Detectouse un incremento repentino e sostido de ataques dirixidos aos portais VPN GlobalProtect de Palo Alto Networks.
Segundo información de intelixencia de ameazas, desde o 14 de novembro rexistráronse máis de 2,3 millóns de sesións maliciosas, centradas principalmente en intentos de forza bruta sobre as credenciais de acceso.
Os ataques concéntranse na ruta:
/global-protect/login.esp
O volume de actividade representa un aumento de ata 40 veces en só 24 horas, acadando o nivel máis alto rexistrado nos últimos meses.
Impacto
Un intento de autenticación exitoso por parte dos atacantes podería provocar:
- acceso non autorizado á rede corporativa,
- risco de movemento lateral,
- exfiltración de información sensible,
- posible instalación de malware ou ransomware,
- interrupción de servizos críticos.
As organizacións sen autenticación reforzada ou políticas estritas de bloqueo son especialmente vulnerables.
Severidade
ALTA
Motivos:
- actividade en curso,
- volume excepcionalmente elevado,
- risco directo sobre sistemas de acceso remoto,
- posible compromiso de redes corporativas.
Recomendacións inmediatas
- Habilitar ou reforzar MFA.
- Aplicar límites de intentos de acceso e bloquear usuarios tras múltiples fallos.
- Monitorizar rexistros de GlobalProtect e do firewall para identificar actividade anómala.
- Restrinxir o acceso ao portal desde xeografías ou IPs non necesarias.
- Implementar rate limiting ou medidas anti-forza bruta.
- Revisar a configuración de seguridade de PAN-OS e GlobalProtect.
- Verificar o estado das credenciais de acceso remoto e forzar cambios se é necesario.
O incremento masivo de ataques contra GlobalProtect constitúe unha ameaza significativa para os sistemas de acceso remoto. As organizacións deben reforzar de inmediato as medidas de autenticación e monitorización para previr accesos non autorizados ás súas redes corporativas.
