Atividade de Scanning em Portais da Palo Alto Networks Aumenta 500% em Um Dia

A empresa de inteligência de ameaças GreyNoise divulgou que observou um pico na atividade de scanning direcionada aos portais de login da Palo Alto Networks.

A empresa relatou um aumento de quase 500% em endereços IP escaneando os portais de login da Palo Alto Networks em 3 de outubro de 2025, o nível mais alto registrado nos últimos três meses. O tráfego foi descrito como direcionado e estruturado, visando principalmente os portais de login da Palo Alto.

Cerca de 1.300 endereços IP únicos participaram do esforço, um salto significativo em relação aos aproximadamente 200 endereços IP únicos observados anteriormente. Desses endereços IP, 93% são classificados como suspeitos e 7% como maliciosos.

A grande maioria dos endereços IP está geolocalizada nos EUA, com clusters menores detectados no Reino Unido, Holanda, Canadá e Rússia.

A GreyNoise observou que este aumento na Palo Alto compartilha características com o scanning do Cisco ASA ocorrido nas últimas 48 horas, com ambos os scanners exibindo agrupamento regional e sobreposição de fingerprinting nas ferramentas utilizadas.

O desenvolvimento ocorre quando a GreyNoise havia notado anteriormente em seu relatório Early Warning Signals que surtos de scanning malicioso, brute-forcing ou tentativas de exploração são frequentemente seguidos pela divulgação de um novo CVE afetando a mesma tecnologia dentro de seis semanas.

Em setembro, a GreyNoise havia alertado sobre varreduras suspeitas direcionadas a dispositivos Cisco Adaptive Security Appliance (ASA), que posteriormente resultaram na divulgação de dois novos zero-days no Cisco ASA explorados em ataques do mundo real.