La empresa de inteligencia de amenazas GreyNoise divulgado el viernes, que observó un aumento en la actividad de escaneo dirigida a los portales de inicio de sesión de Palo Alto Networks.
La compañía dijo que observó un aumento de casi un 500% en las direcciones IP digitalización Los portales de inicio de sesión de Palo Alto Networks el 3 de octubre de 2025, el nivel más alto registrado en los últimos tres meses. Describió el tráfico como dirigido y estructurado, y se dirigió principalmente a los portales de inicio de sesión de Palo Alto.
Hasta 1300 direcciones IP únicas han participado en el esfuerzo, lo que representa un salto significativo con respecto a las alrededor de 200 direcciones IP únicas observadas anteriormente. De estas direcciones IP, el 93% se clasifican como sospechosas y el 7% como maliciosas.
La gran mayoría de las direcciones IP están geolocalizadas en EE. UU., y se detectan clústeres más pequeños en el Reino Unido, los Países Bajos, Canadá y Rusia.
«Este aumento en Palo Alto comparte características con los escaneos Cisco ASA realizados en las últimas 48 horas», señaló GreyNoise. «En ambos casos, los escáneres mostraron un agrupamiento regional y las herramientas utilizadas superpusieron la toma de huellas dactilares».
«Tanto el tráfico de escaneo de inicios de sesión de Cisco ASA como el de Palo Alto en las últimas 48 horas comparten una huella digital TLS dominante vinculada a la infraestructura de los Países Bajos».
En abril de 2025, GreyNoise reportó una actividad sospechosa similar de escaneo de inicios de sesión dirigida a las pasarelas PAN-OS GlobalProtect de Palo Alto Networks, lo que llevó a la empresa de seguridad de redes a instar a los clientes a asegurarse de que utilizan las versiones más recientes del software.
El desarrollo se presenta como GreyNoise apuntado en su informe Early Warning Signals de julio de 2025, según el cual los aumentos repentinos de análisis maliciosos, uso de fuerza bruta o intentos de explotación suelen ir seguidos de la revelación de un nuevo CVE que afecta a la misma tecnología en un plazo de seis semanas.
A principios de septiembre, Greynoise prevenido sobre escaneos sospechosos que se realizaron ya a fines de agosto y que tenían como objetivo dispositivos Cisco Adaptive Security Appliance (ASA). La primera oleada se originó en más de 25 100 direcciones IP, principalmente ubicadas en Brasil, Argentina y EE. UU.
Semanas después, Cisco divulgado dos nuevos días cero en Cisco ASA (CVE-2025-20333 y CVE-2025-20362) que se habían aprovechado en ataques reales para implementar familias de malware como RayInitiator y LINE VIPER .
Datos de la Fundación Shadowserver muestra que más de 45 000 instancias ASA/FTD de Cisco, de las cuales más de 20 000 se encuentran en EE. UU. y unas 14 000 en Europa, siguen siendo susceptibles a las dos vulnerabilidades.