Компанія з розвідки загроз GreyNoise повідомила у п’ятницю про значне збільшення активності сканування, спрямованої на логін-портали Palo Alto Networks. За даними GreyNoise, 3 жовтня 2025 року було зафіксовано майже 500% зростання кількості IP-адрес, що сканують логін-портали Palo Alto Networks – це найвищий рівень за останні три місяці. Трафік описано як цілеспрямований і структурований, зосереджений переважно на логін-порталах компанії. У цій атаці взяли участь до 1300 унікальних IP-адрес, що є суттєвим стрибком порівняно з приблизно 200 IP-адресами, зафіксованими раніше. З них 93% класифіковано як підозрілі, а 7% – як шкідливі. Більшість IP-адрес геолокалізована в США, з меншими кластерами в Великобританії, Нідерландах та Канаді.

GreyNoise зазначає, що цей сплеск сканування Palo Alto має схожі характеристики з нещодавньою активністю сканування Cisco ASA, яка тривала протягом останніх 48 годин. В обох випадках сканери демонструють регіональне кластеризування та перекриття в інструментах для ідентифікації (fingerprinting). Зокрема, трафік сканування логінів як Palo Alto, так і Cisco ASA за останні 48 годин пов’язаний з домінуючим TLS-фінгерпринтом, що асоціюється з інфраструктурою в Нідерландах. Це не перший подібний інцидент. У квітні 2025 року GreyNoise повідомляла про підозрілу активність сканування логінів, спрямовану на шлюзи PAN-OS GlobalProtect від Palo Alto Networks, після чого компанія рекомендувала клієнтам оновити програмне забезпечення до останніх версій.

Згідно з звітом GreyNoise “Early Warning Signals” від липня 2025 року, сплески шкідливого сканування, brute-force атак чи спроб експлойтів часто передує розкриттю нової вразливості CVE для тієї ж технології протягом шести тижнів. Наприклад, на початку вересня 2025 року GreyNoise попередила про підозрілі сканування Cisco Adaptive Security Appliance (ASA), що почалися наприкінці серпня, з понад 25 100 IP-адресами, переважно з Бразилії, Аргентини та США. Через кілька тижнів Cisco оголосила про дві нові zero-day вразливості в Cisco ASA (CVE-2025-20333 та CVE-2025-20362), які використовувалися в реальних атаках для розгортання малвару, такого як RayInitiator та LINE VIPER. Дані від Shadowserver Foundation показують, що понад 45 000 інстансів Cisco ASA/FTD залишаються вразливими, з яких понад 20 000 розташовані в США та близько 14 000 – в Європі. Рекомендації: Palo Alto Networks закликає клієнтів забезпечити використання останніх версій програмного забезпечення для запобігання потенційним експлойтам. GreyNoise радить моніторити подібні сплески як ранній сигнал про можливі вразливості.