Egy nagyszabású, automatizált, hitelesítő adatokon alapuló támadási kampányt észleltek vállalati virtuális magánhálózati (VPN) infrastruktúrák ellen. A fenyegetéskutatók beszámolói szerint 2025 decemberének közepén több millió bejelentkezési kísérlet irányult Cisco SSL VPN és Palo Alto Networks GlobalProtect portálokra egy rövid, koncentrált időszak alatt.
A tevékenységet több fenyegetés-intelligencia platform – köztük a GreyNoise – valamint független kiberbiztonsági források is megerősítették. Az eset rávilágít arra, hogy a támadók egyre kitartóbban vizsgálják a peremhálózati hitelesítési végpontokat gyenge vagy újrahasznált jelszavak után kutatva.
A támadási kampány áttekintése
2025. december 11-én a GreyNoise biztonsági szenzorhálózata drasztikus növekedést észlelt az automatizált bejelentkezési kísérletek számában, amelyek a Palo Alto Networks GlobalProtect VPN portáljait célozták. Egy körülbelül 16 órás időablakban mintegy 1,7 millió munkamenetet detektáltak, amelyek több mint 10 000 egyedi IP-címről érkeztek.
Másnap, december 12-én, a támadási aktivitás a Cisco SSL VPN végpontokra helyeződött át. Az egyedi támadó IP-címek száma kevesebb mint 200-ról több mint 1 200-ra ugrott 24 óra alatt, ami jelentős eltérés a megszokott háttérzajtól.
Bár a forgalom volumene kiemelkedően magas volt, a GreyNoise és más elemzők hangsúlyozták: nem egy konkrét szoftversérülékenység kihasználásáról, hanem hitelesítő adatokkal végzett próbálkozásokról és jelszó-szórásos (password spraying) technikáról van szó.
A támadás technikai jellemzői
A fenyegetési telemetria alapján:
- Infrastruktúra eredete: A rosszindulatú forgalom jelentős része a 3xK GmbH németországi hosztingszolgáltató IP-tartományaiból érkezett. Ez központilag menedzselt, felhőalapú bot-infrastruktúrára utal, nem pedig szétszórt, lakossági proxykra.
- Egységes mintázatok: A kérések azonos user-agent stringeket és TCP ujjlenyomatokat mutattak, ami szkriptezett automatizmus használatára utal. Számos GlobalProtect próbálkozás szokatlan Firefox user-agenttel érkezett, míg a Cisco SSL VPN kérések gyakran Windows NT profilt imitáltak.
- Szabványos hitelesítési folyamatok: A GreyNoise által megfigyelt kérések normál bejelentkezési munkafolyamatokat követtek – beleértve a CSRF tokenek kezelését és a szokásos bejelentkezési mezőket –, ami megerősíti, hogy hitelesítő adatokkal való visszaélésről, nem pedig szoftverhibáról van szó.
Mit jelent a jelszó-szórás (password spraying)?
A biztonsági szakértők ezeket a próbálkozásokat jelszó-szórásos támadásként azonosítják. Ez egy olyan brute-force technika, ahol a támadók kevés, gyakran használt vagy gyenge jelszót próbálnak ki nagyszámú felhasználói fiókon, így elkerülve a fiókzárolást és az észlelést.
Eltérően a klasszikus brute-force támadásoktól – ahol sok jelszót próbálnak egyetlen fiókon –, a jelszó-szórás vízszintesen osztja el a próbálkozásokat.
A Palo Alto Networks saját biztonsági dokumentációja is hangsúlyozza, hogy a jelszó-szórás nem szoftverhiba, hanem olyan módszer, amely a gyenge jelszóhasználatot és az elégtelen hitelesítési kontrollokat használja ki. Az állandó vagy újrahasznált jelszavak, valamint a minimális sebességkorlátozás lehetővé teszik a támadók számára a viszonylag észrevétlen próbálkozást.
Történeti háttér és trendek
A 2025. decemberi kampány egy szélesebb körű, folyamatos trend része:
- 2025 decemberének elején a GreyNoise több mint 7 000 IP-címet azonosított, amelyek Palo Alto GlobalProtect portálokat pásztáztak, hasonló automatizált mintázattal és 3xK infrastruktúrából.
- 2025 augusztusában független honeypot hálózatok is megnövekedett jelszó-szórásos aktivitást jelentettek, különösen nem emberi (szolgáltatási) fiókok ellen.
- 2024–2025 eleje között több iparági jelentés is kimutatta a jelszó-szórásos támadások növekedését nemcsak VPN-ek, hanem felhőalapú identitásszolgáltatók és SSH szolgáltatások ellen is.
Gyártói reakciók és védekezési lépések
A kampányra reagálva:
- A Cisco figyelmeztette ügyfeleit más, aktívan kihasznált sérülékenységekre a Secure Email Gateway termékekben, azonban a GreyNoise szerint nincs kapcsolat ezek és a jelenlegi jelszó-szórásos incidens között.
- A Palo Alto Networks szóvivője szerint az aktivitás „automatizált hitelesítő adat-próbálkozás”, és nem utal sikeres kompromittálásra vagy a GlobalProtect termékek sérülékenységére. A vállalat ismételten javasolja az erős jelszavak és a többfaktoros hitelesítés (MFA) alkalmazását.
- A GreyNoise és más fenyegetés-intelligencia szolgáltatók a VPN naplók rendszeres auditálását, a szokatlan bejelentkezési sebességek figyelését, valamint az ismert rosszindulatú IP-címek blokkolását ajánlják.
Mit jelent ez a vállalatok számára?
A biztonsági szakemberek szerint az ilyen összehangolt brute-force kampányok hangsúlyozzák a gyenge hitelesítési gyakorlatok kockázatait:
- A jelszó-szórás továbbra is kedvelt kezdeti hozzáférési technika, amely később oldalirányú mozgáshoz vagy adatlopáshoz vezethet.
- A VPN átjárók gyakran nem rendelkeznek modern adaptív hitelesítési és anomália-észlelési megoldásokkal, így vonzó célpontok.
- A központosított, felhőalapú infrastruktúra használata arra utal, hogy a támadók skálázható eszközökbe fektetnek, amelyekkel rövid idő alatt több ezer szervezetet képesek tesztelni.
Szakértői ajánlások
- Erős, egyedi jelszavak és MFA kötelező alkalmazása minden VPN és távoli hozzáférési rendszeren.
- Részletes naplózás és a sikertelen hitelesítések folyamatos monitorozása.
- Sebességkorlátozás és anomália-észlelés bevezetése a hitelesítési végpontokon.
- IP-reputációs listák és blokkolási mechanizmusok használata az ismert rosszindulatú infrastruktúra ellen.
A GreyNoise-ról
A GreyNoise Enterprise egy kiberbiztonsági platform, amely internet-szintű szkennelési és támadási adatokat gyűjt és elemez. Segítségével a biztonsági csapatok el tudják különíteni az ártalmatlan „zajt” a valódi fenyegetésektől, így gyorsabban és hatékonyabban reagálhatnak a széles körű támadásokra. A GreyNoise API-kon, SIEM/SOAR integrációkon és blokkolási listákon keresztül támogatja a SOC-csapatokat az automatizált védekezésben.
