Sebuah kampanye otomatis dilaporkan menargetkan berbagai platform VPN, dengan serangan berbasis kredensial terdeteksi pada Palo Alto Networks GlobalProtect dan Cisco SSL VPN. Aktivitas ini menambah tekanan terhadap endpoint autentikasi VPN perusahaan yang semakin sering menjadi sasaran.
Lonjakan Aktivitas Login
Pada 11 Desember, platform pemantauan ancaman GreyNoise mencatat lonjakan hingga 1,7 juta percobaan login ke portal GlobalProtect dalam kurun waktu 16 jam. Data menunjukkan serangan berasal dari lebih dari 10.000 alamat IP unik, dengan target infrastruktur di Amerika Serikat, Meksiko, dan Pakistan.
Mayoritas trafik berbahaya ini berasal dari ruang IP milik 3xK GmbH (Jerman), mengindikasikan penggunaan infrastruktur cloud terpusat. Penyerang diketahui menggunakan kombinasi username dan password umum, dengan pola permintaan konsisten melalui user agent Firefox, yang jarang digunakan dalam aktivitas login otomatis.
Perluasan ke Cisco SSL VPN
Sehari kemudian, aktivitas serupa mulai menyasar endpoint Cisco SSL VPN. GreyNoise mencatat peningkatan jumlah IP penyerang menjadi 1.273, jauh di atas baseline normal yang biasanya di bawah 200. Serangan ini merupakan penggunaan skala besar pertama dari IP yang dihosting 3xK terhadap Cisco SSL VPN dalam 12 minggu terakhir.
Payload login mengikuti alur autentikasi SSL VPN normal, termasuk penanganan CSRF, sehingga menguatkan indikasi bahwa ini adalah serangan kredensial otomatis, bukan eksploitasi kerentanan.
Konteks Keamanan Cisco dan Palo Alto
Cisco baru-baru ini memperingatkan adanya kerentanan zero-day dengan tingkat keparahan maksimum (CVE-2025-20393) pada Cisco AsyncOS, yang sedang dieksploitasi untuk menyerang Secure Email Gateway (SEG) dan Secure Email and Web Manager (SEWM). Namun, GreyNoise menegaskan tidak ada bukti bahwa aktivitas password spraying ini terkait dengan CVE tersebut.
Sementara itu, juru bicara Palo Alto Networks mengonfirmasi bahwa mereka menyadari adanya aktivitas ini. Perusahaan menekankan pentingnya penggunaan password kuat dan multi-factor authentication (MFA) untuk melindungi sistem. Mereka menegaskan bahwa serangan ini hanyalah upaya otomatis untuk menemukan kredensial lemah, bukan kompromi lingkungan atau eksploitasi kerentanan produk Palo Alto.
Rekomendasi Mitigasi
GreyNoise menyarankan administrator untuk:
- Melakukan audit pada perangkat jaringan.
- Memantau percobaan login yang tidak biasa.
- Memblokir alamat IP berbahaya yang teridentifikasi melakukan probing.