【安全资讯】Palo Alto网络设备遭恶意流量激增，全球防御系统拉响警报

概要：

全球网络安全领域近日出现异常动态，Palo Alto Networks的GlobalProtect门户遭遇恶意流量暴增，24小时内激增近40倍，达到90天来的最高峰。这一突发现象引发安全专家高度警惕，因其模式与历史漏洞利用前的扫描活动高度相似，可能预示着新型网络攻击即将爆发。

主要内容：

根据GreyNoise监测数据，自11月14日起针对GlobalProtect登录端点的恶意会话量骤增至230万次。这些扫描活动主要源自德国网络服务商AS200373（3xK Tech GmbH），其中62%流量位于德国，15%位于加拿大。攻击者重复使用TCP和JA4t签名特征，显示出与以往攻击Palo Alto设备的威胁组织存在基础设施关联。

技术分析显示，扫描活动均匀覆盖美国、墨西哥和巴基斯坦的GlobalProtect系统，表明攻击者采用广泛机会性探测策略而非针对性攻击。GreyNoise安全研究架构师Matthew Remacle指出，此次流量激增与历史攻击活动存在强关联，高度确信这些活动至少部分由同一威胁行为体驱动。

历史数据表明，类似扫描高峰往往预示新漏洞即将曝光。Fortinet设备就曾出现扫描激增数周后公开漏洞的案例，80%的类似情况在六周内伴随CVE披露。虽然目前尚未发现对应漏洞利用，但大规模扫描、重复攻击基础设施与预攻击扫描历史的三重组合值得警惕。

安全团队建议运行GlobalProtect门户的组织立即加强访问控制，监控登录异常，并准备部署阻断列表和IPS规则。GreyNoise已通过Block服务发布专属阻断列表，支持按ASN、JA4指纹等多维度生成过滤规则，助力防御体系提前布防。