أطلقت شركة GreyNoise المتخصصة في استخبارات التهديدات السيبرانية تحذيرًا بشأن موجة جديدة من نشاط المسح الإلكتروني تستهدف بوابات GlobalProtect التابعة لشركة Palo Alto Networks. ووفقًا للتقرير، فقد بدأ النشاط في 14 نوفمبر 2025، لكنه شهد تصاعدًا حادًا خلال 24 ساعة فقط، حيث ارتفع بمعدل 40 ضعفًا، مسجلًا أعلى مستوى له خلال 90 يومًا.
أكثر من 2.3 مليون محاولة وصول في أقل من أسبوع
بين 14 و19 نوفمبر، تم تسجيل أكثر من 2.3 مليون جلسة استهدفت المسار */global-protect/login.esp، ما يشير إلى حملة واسعة النطاق تهدف إلى استكشاف نقاط الضعف في بوابات GlobalProtect، والتي تُستخدم عادة لتأمين الوصول عن بُعد إلى شبكات المؤسسات.
مؤشرات على جهة تهديد واحدة وراء الهجمات
تشير التحليلات التقنية إلى أن هذه الموجة من الهجمات تعود على الأرجح إلى جهة تهديد واحدة، وذلك استنادًا إلى تكرار توقيعات TCP/JA4t المتطابقة والبنية التحتية المشتركة المستخدمة في الهجمات. وتُعد هذه المؤشرات دليلاً قويًا على أن جهة واحدة تقف وراء الحملة، ما يعزز من احتمالية وجود نية خبيثة منظمة لاستغلال هذه الثغرات.
مخاطر محتملة على المؤسسات والبنية التحتية الرقمية
تُعد بوابات GlobalProtect من الأدوات الأساسية التي تعتمد عليها المؤسسات لتأمين اتصالات موظفيها عن بُعد، ما يجعلها هدفًا جذابًا للجهات المهاجمة. وتُظهر هذه الحملة مدى أهمية تعزيز إجراءات الحماية، مثل تحديث البرمجيات بانتظام، وتفعيل أنظمة كشف التسلل، ومراقبة السجلات بحثًا عن أي نشاط غير معتاد. كما يُنصح بمراجعة إعدادات المصادقة متعددة العوامل وتقييد الوصول إلى بوابات VPN لتقليل فرص الاستغلال.
