| 요약 | - Palo Alto Networks GlobalProtect VPN 포털을 대상으로 한 스캔 활동이 급증 - 약 2만4천 개 고유 IP 주소가 관여하였으며, 향후 취약점 악용 가능성에 대한 우려 증가 |
| 내용 | - 25.03.17부터 시작돼 하루 최대 2만 개에 달하는 고유 IP 주소가 스캔 시도 > 03.26까지 규모 유지 > 23,800개 IP는 ‘의심스러운(suspicious)’ 활동으로 분류됐으며, 154개는 실제 ‘악의적인(malicious)’ 활동을 한 것으로 확인 > 03.26 PAN-OS 크롤러 활동 급증 )해당 스캔에는 별도로 2,580개 IP 확인) - 위협 인텔리전스 기업 그레이노이즈(GreyNoise) > 네트워크 스캔 급증은 일반적으로 새로운 취약점 공개나 악용 시도에 앞서 발생하는 사전 정찰(Reconnaissance)의 전형적인 패턴 - 스캔 활동의 방식도 일정하고 일관성이 높음 > 단순한 자동화된 스캔이 아니라 특정한 방어 체계를 시험 및 분석하려는 조직적인 공격 준비 단계일 가능성이 큼 - 관련 장비 운영 중인 관리자 대상 권고 > 시스템 로그 면밀히 분석 > 공격 징후를 사전에 탐지해 방어 체계 강화 > 특히 3월 중순 이후의 로그를 검토해 이상 활동이 있었는지 점검 > 로그인 포털의 보안 강화 > 확인된 악성 IP 차단 리스트 등록 - 팔로알토네트웍스 > 관련 스캔 활동에 대해 인지 > 해당 활동의 영향을 분석하고, 필요한 대응 조치를 파악하기 위해 모니터링 중 > 최신 버전의 PAN-OS를 사용해 보안 기능을 최적화할 것을 고객들에게 권고 |
| 기타 | - 보안 전문가들 권고 > 실제 공격으로 이어질 가능성이 있음 > VPN과 포털 보안에 대한 대비책을 지금부터 강화 > 취약점이 발견되기 전이라도 최신 보안 패치를 적용 > 의심스러운 네트워크 접근을 지속적으로 모니터링 > 관리 인터페이스에 대한 접근 제어와 다중 인증을 엄격히 적용 등 권고 |
보안뉴스
팔로알토네트웍스 VPN 포털 대상 스캔 활동 급증, 전 세계 2만4천개 IP 관여...사용기관 주
최근 팔로알토네트웍스 글로벌프로텍트(Palo Alto Networks GlobalProtect)VPN 포털을 대상으로 한 스캔 활동이 급증하고 있는 것으로 나타났다. 이 활동에는 약 2만4천 개에 달하는 고유 IP 주소가 관여한
www.dailysecu.com
'보안뉴스' 카테고리의 다른 글
| 2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서 (0) | 2025.04.04 |
|---|---|
| 브로드컴 URL 리디렉션으로 브이엠웨어 워크스테이션 자동 업데이트 장애…보안 위협 증가 (0) | 2025.04.04 |
| 치명적 보안취약점 이용해 블랙락 랜섬웨어 조직 역해킹…운영 내역 대거 유출 외 1건 (0) | 2025.04.03 |
| KISA, 해킹 진단 도구 업데이트..리눅스 추가 지원 (0) | 2025.04.03 |
| GitHub의 가짜 "보안 경고" 문제는 OAuth 앱을 사용하여 계정을 탈취합니다 (0) | 2025.03.18 |