Globalprotect

Um aumento significativo nos ataques aos portais de login do Palo Alto Networks GlobalProtect foi registrado, com mais de 2.200 endereços IP únicos envolvidos em tentativas de acesso em 7 de outubro de 2025. A GreyNoise, empresa de monitoramento de cibersegurança, observou que o número de IPs únicos que realizavam varreduras nos portais subiu de aproximadamente 1.300 em 3 de outubro para mais de 2.200 em apenas quatro dias. Essa atividade sugere uma campanha de ‘credential stuffing’, onde listas extensas de credenciais, possivelmente obtidas de vazamentos anteriores, estão sendo utilizadas. A análise geográfica revelou que 91% dos IPs que realizavam as varreduras estavam localizados nos Estados Unidos, com outros clusters significativos no Reino Unido, Países Baixos, Canadá e Rússia. O aumento repentino de tentativas de login, que coincide com um evento semelhante de varredura em dispositivos Cisco ASA, indica uma possível coordenação entre os atacantes. Para mitigar esses ataques, recomenda-se que as organizações bloqueiem ou monitorem os IPs identificados pela GreyNoise, implementem autenticação multifatorial e revisem os logs de login em busca de combinações incomuns de nome de usuário e senha.

Recentemente, a GreyNoise, uma empresa de pesquisa em segurança cibernética, relatou um aumento de 500% nos IPs realizando varreduras em busca de perfis do Palo Alto Networks GlobalProtect e PAN-OS. Em média, cerca de 200 IPs realizam esse tipo de varredura, mas no dia 3 de outubro, esse número saltou para mais de 1.280. A maioria dos IPs maliciosos se originou dos Estados Unidos, com alvos principalmente nos EUA e no Paquistão. Apesar do aumento nas varreduras, a Palo Alto Networks afirmou que não encontrou evidências de comprometimento em seus sistemas e se mantém confiante em suas defesas, que são suportadas pela plataforma Cortex XSIAM, capaz de bloquear 1,5 milhão de novos ataques diariamente. Especialistas alertam que esse tipo de atividade pode indicar que um ator malicioso está tentando descobrir vulnerabilidades nos portais de login da empresa. A GreyNoise também observou que 7% dos IPs envolvidos nas varreduras são considerados maliciosos, enquanto 91% são classificados como suspeitos. A empresa continua monitorando a situação e assegura que suas infraestruturas permanecem seguras.

A Palo Alto Networks revelou uma vulnerabilidade de severidade moderada em seu aplicativo de VPN GlobalProtect, que pode permitir que atacantes escalem privilégios e instalem software malicioso em endpoints alvo. A falha, identificada como CVE-2025-2183 e com uma pontuação CVSS de 4.5, afeta o processo de validação de certificados em aplicações GlobalProtect em sistemas Windows e Linux. A vulnerabilidade decorre de uma validação insuficiente de certificados, permitindo que atacantes se conectem a servidores arbitrários. Isso pode ser explorado por usuários não administrativos locais ou atacantes na mesma sub-rede, que podem instalar certificados raiz maliciosos e, em seguida, implantar software malicioso assinado por esses certificados fraudulentos. A Palo Alto Networks já lançou atualizações de segurança para corrigir a falha e recomenda que as organizações afetadas priorizem a atualização para as versões corrigidas e implementem mudanças de configuração adicionais para proteção total.