Ces derniers jours des scans importants ciblant les portails Palo Alto Networks « GlobalProtect et PAN-OS » ont été identifiés partout dans le monde. Ces scans sont interprétés comme des activités de reconnaissance ciblée, probablement issues de recherches publiques  ou d’outils d’attaquants cherchant à identifier des équipements Palo Alto exposés.

Même si aucune vulnérabilité nouvelle n’a été publiée à ce jour par Palo Alto, ce type d’activité douteuse a précédé par le passé certaines révélations de failles critiques. Cette activité ne constitue pas encore une exploitation confirmée, mais elle s’inscrit dans un schéma de reconnaissance préliminaire pouvant précéder une campagne d’exploitation active. 

Recommendations:

1. Inventorier et vérifier l’exposition Internet de tous les portails GlobalProtect et interfaces PAN-OS.
2. Restreindre l’accès à l’interface de connexion (VPN portal).
3. Mettre à jour vers les dernières versions stables de PAN-OS.
4. Surveiller les journaux pour toute activité anormale.

Annexe :   

• https://www.bleepingcomputer.com/news/security/massive-surge-in-scans-targeting-palo-alto-networks-login-portals/   

• https://www.greynoise.io/blog/palo-alto-scanning-surges