News

Gelombang Baru Serangan Login VPN Targetkan Portal Palo Alto GlobalProtect

December 8, 2025
1 minute read

Palo Alto Networks melaporkan adanya kampanye serangan baru yang menargetkan portal GlobalProtect VPN dengan upaya login brute-force, serta aktivitas pemindaian terhadap API SonicWall SonicOS.

Kronologi Aktivitas

  • Dimulai pada 2 Desember 2025, berasal dari lebih dari 7.000 alamat IP milik perusahaan IT Jerman 3xK GmbH (AS200373).
  • Awalnya fokus pada GlobalProtect portals, kemudian bergeser ke pemindaian endpoint API SonicWall.
  • GreyNoise mencatat serangan ini menggunakan tiga fingerprint klien yang sebelumnya terlihat dalam aktivitas scanning antara akhir September hingga pertengahan Oktober.
  • Aktivitas sebelumnya menghasilkan lebih dari 9 juta sesi HTTP non-spoofable, sebagian besar menargetkan GlobalProtect.
  • Pada pertengahan November, GreyNoise juga mengamati 2,3 juta sesi scan dari infrastruktur 3xK GmbH.

Target Infrastruktur

  • GlobalProtect: komponen VPN dan remote access dari firewall Palo Alto, digunakan oleh perusahaan besar, lembaga pemerintah, dan penyedia layanan.
  • SonicOS: sistem operasi firewall SonicWall, dengan API untuk konfigurasi, manajemen jarak jauh, dan monitoring.
  • Pemindaian berbahaya biasanya bertujuan menemukan kerentanan dan salah konfigurasi, serta memetakan infrastruktur untuk eksploitasi di masa depan.

Rekomendasi Pertahanan

  • Pantau IP yang terkait dengan aktivitas ini dan blokir bila perlu.
  • Monitor permukaan autentikasi untuk mendeteksi kecepatan login abnormal atau kegagalan berulang.
  • Lacak fingerprint klien berulang untuk mengidentifikasi pola serangan.
  • Gunakan dynamic, context-aware blocking alih-alih daftar reputasi statis.
  • Terapkan Multi-Factor Authentication (MFA) untuk mencegah penyalahgunaan kredensial.

Pernyataan Palo Alto Networks

  • Aktivitas ini dikonfirmasi sebagai serangan berbasis kredensial, bukan eksploitasi kerentanan perangkat lunak.
  • Telemetry internal dan proteksi Cortex XSIAM memastikan tidak ada kompromi terhadap produk atau layanan Palo Alto.

Sumber: GreyNoise, Palo Alto Networks

Tags
December 8, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button