Um aumento significativo nos ataques aos portais de login do Palo Alto Networks GlobalProtect foi registrado, com mais de 2.200 endereços IP únicos envolvidos em tentativas de acesso em 7 de outubro de 2025. A GreyNoise, empresa de monitoramento de cibersegurança, observou que o número de IPs únicos que realizavam varreduras nos portais subiu de aproximadamente 1.300 em 3 de outubro para mais de 2.200 em apenas quatro dias. Essa atividade sugere uma campanha de ‘credential stuffing’, onde listas extensas de credenciais, possivelmente obtidas de vazamentos anteriores, estão sendo utilizadas. A análise geográfica revelou que 91% dos IPs que realizavam as varreduras estavam localizados nos Estados Unidos, com outros clusters significativos no Reino Unido, Países Baixos, Canadá e Rússia. O aumento repentino de tentativas de login, que coincide com um evento semelhante de varredura em dispositivos Cisco ASA, indica uma possível coordenação entre os atacantes. Para mitigar esses ataques, recomenda-se que as organizações bloqueiem ou monitorem os IPs identificados pela GreyNoise, implementem autenticação multifatorial e revisem os logs de login em busca de combinações incomuns de nome de usuário e senha.
Fonte: https://cyberpress.org/attacks-on-palo-alto-pan-os-globalprotect/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
08/10/2025 • Risco: ALTO
ATAQUE
Aumento de ataques aos portais de login do Palo Alto GlobalProtect
RESUMO EXECUTIVO
O aumento nas tentativas de login aos portais do Palo Alto GlobalProtect representa um risco significativo para a segurança das informações. A utilização de credenciais comprometidas pode resultar em acessos não autorizados, exigindo ações imediatas de mitigação e monitoramento.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a acessos não autorizados e vazamentos de dados.
Operacional
Aumento nas tentativas de acesso não autorizado aos portais de login.
Setores vulneráveis
['Setores de tecnologia da informação', 'Setores financeiros', 'Setores governamentais']
📊 INDICADORES CHAVE
2.200 IPs únicos envolvidos em tentativas de login.
Indicador
12% de todos os sub-redes dentro do ASN 11878 estavam ativamente escaneando.
Contexto BR
91% dos IPs de varredura localizados nos Estados Unidos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e identificar tentativas de login suspeitas.
2
Implementar autenticação multifatorial e bloquear IPs identificados como maliciosos.
3
Monitorar continuamente os logs de login e as atividades de varredura nos portais.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das credenciais e a proteção dos portais de login, que são alvos frequentes de ataques. A exploração bem-sucedida pode levar a vazamentos de dados sensíveis.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
