En vísperas de un gran ataque: 24 mil rastreadores examinan la seguridad de GlobalProtect

La empresa GreyNoise ha detectado una operación de reconocimiento a gran escala dirigida contra el servicio VPN GlobalProtect. Cerca de 24 mil direcciones IP únicas inspeccionaron metódicamente las interfaces de gestión del producto de Palo Alto Networks, intentando detectar puntos débiles en su defensa. Las organizaciones que dependen de este servicio para el acceso remoto seguro deben extremar la vigilancia.

El escaneo comenzó el 17 de marzo, alcanzó su punto máximo unos días después y comenzó a disminuir hacia el 26 de marzo. Los atacantes están utilizando herramientas automatizadas que verifican sistemáticamente cada puerto y servicio potencialmente accesible, construyendo un mapa detallado de posibles puntos de entrada vulnerables. La coordinación de sus acciones indica claramente que se están preparando para ataques serios.

En los últimos 18 a 24 meses, los analistas de GreyNoise han observado una tendencia: tras escaneos masivos de una tecnología específica, frecuentemente se descubren nuevas vulnerabilidades en ella. Según Bob Rudis, vicepresidente de análisis de datos en GreyNoise, esto suele significar que los hackers ya han encontrado una debilidad y se están preparando para aprovecharla. O que han tenido acceso previo a información sobre una vulnerabilidad aún no divulgada y están afinando sus objetivos. La experiencia demuestra que tal nivel de interés en un producto concreto generalmente desemboca en consecuencias graves en un plazo de 2 a 4 semanas.

GlobalProtect es un producto clave de Palo Alto Networks, uno de los mayores fabricantes mundiales de soluciones de seguridad de red. El servicio proporciona acceso remoto seguro a miles de organizaciones, incluidos bancos, industrias y agencias gubernamentales. A través del portal centralizado, los administradores configuran túneles VPN, distribuyen software y gestionan el intercambio de datos con los puntos finales. Este portal debe estar accesible desde Internet, lo que lo convierte, comprensiblemente, en un blanco atractivo para los atacantes.

Los dispositivos perimetrales —cortafuegos, concentradores VPN y routers— controlan todo el tráfico entre la red interna de una organización e Internet. Un ataque exitoso contra este tipo de equipos físicos abre la puerta directa a recursos protegidos de la empresa: bases de datos, servidores internos, estaciones de trabajo del personal y, en última instancia, secretos corporativos.

Otros fabricantes también se enfrentan a problemas similares. El año pasado, expertos de Cisco Talos revelaron una extensa campaña de ciberespionaje. Los atacantes, presuntamente vinculados a un Estado, explotaron dos vulnerabilidades de día cero en cortafuegos de Cisco, seleccionando objetivos específicos y empleando sofisticadas técnicas para ocultar su actividad.

El mes pasado, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) advirtió sobre la explotación activa de una nueva vulnerabilidad de día cero en el sistema operativo PAN-OS. La falla permitía eludir los mecanismos de autenticación y acceder de forma no autorizada a los dispositivos.

El análisis geográfico muestra que la mayor parte de las IP escaneadoras —unas 16 250— se encuentran en EE.UU., donde también está ubicada la mayoría de los sistemas objetivo: 23 768 dispositivos. Cantidades menores de tráfico sospechoso se dirigieron a equipos en Reino Unido, Rusia, Singapur e Irlanda. Entre otras fuentes destacadas de escaneo figuran Canadá, Finlandia, Rusia y los Países Bajos.

Se recomienda a las organizaciones reforzar el monitoreo de la actividad en red y revisar exhaustivamente los mecanismos de defensa. Es esencial analizar los registros del sistema del último mes y buscar indicios de compromiso en todos los sistemas críticos. A las empresas que utilizan configuraciones redundantes de equipos Palo Alto Networks se les aconseja realizar un análisis técnico profundo, ya que este escaneo masivo bien podría haber servido de cortina de humo para ataques dirigidos a objetivos específicos.

Los analistas también recomiendan restringir el acceso a las interfaces de administración mediante listas de IP permitidas, implementar autenticación multifactor y mantener el software actualizado. Todo lo habitual. Es fundamental configurar un registro detallado de todas las acciones y responder oportunamente a cualquier actividad sospechosa.