【安全资讯】新一轮VPN登录攻击瞄准Palo Alto GlobalProtect门户，德国IP成主力

概要：

近期，网络安全领域出现了一波针对企业关键远程访问基础设施的集中攻击。威胁情报公司GreyNoise报告称，自12月2日起，一场大规模活动瞄准了Palo Alto Networks的GlobalProtect VPN门户和SonicWall防火墙的API端点，攻击源主要来自德国一家IT公司的数千个IP地址，凸显了针对企业边界安全设备的持续威胁。

主要内容：

此次攻击活动始于12月2日，攻击者利用超过7000个IP地址，对Palo Alto GlobalProtect VPN门户发起暴力破解和登录尝试。这些IP地址归属于德国IT公司3xK GmbH运营的基础设施。攻击者随后将目标转向扫描SonicWall SonicOS的API端点，旨在发现潜在的漏洞或配置错误。

攻击活动中使用了三种特定的客户端指纹，这些指纹与9月下旬至10月中旬期间观察到的扫描活动相匹配。早期的活动产生了超过900万次非欺骗性HTTP会话，主要目标同样是GlobalProtect门户。这表明攻击者可能在进行长期的侦察和漏洞发现准备。

SonicOS是运行在SonicWall防火墙上的操作系统，其API端点用于配置和管理。针对这些端点的恶意扫描通常是为了识别安全弱点，为未来利用可能出现的漏洞做准备。GreyNoise警告，此类活动可能是更大规模攻击的前奏。

Palo Alto Networks已确认检测到针对GlobalProtect接口的扫描活动激增，并指出这属于基于凭证的攻击，而非利用软件漏洞。该公司建议客户强制执行多因素认证以防范凭证滥用。安全专家建议防御者监控与此类活动相关的IP并予以阻断，同时监控认证表面的异常行为。