Des experts signalent qu’une augmentation de l’activité pourrait annoncer une campagne d’attaques ou l’exploitation imminente d’une nouvelle vulnérabilité.

Une campagne de balayage massif a déclenché des alarmes au sein de la communauté de cybersécurité après le constat d’une hausse inhabituelle des tentatives d’accès aux portails de connexion de GlobalProtect, la solution VPN d’entreprise de Palo Alto Networks. Selon les chercheurs de GreyNoise, plus de 24 000 adresses IP uniques ont été impliquées dans cette activité suspecte au cours du mois de mars 2025.

Balayages à grande échelle et persistants

Le pic le plus élevé a été enregistré le 17 mars, avec 20 000 IP actives en une seule journée, un chiffre qui est resté stable jusqu’au 26 mars. GreyNoise a classé 23 800 de ces IP comme « suspectes » et 154 comme « malveillantes », montrant une intention claire de reconnaissance préalable à un éventuel attaque.

La majorité des connexions proviennent des États-Unis et du Canada, bien que les systèmes ciblés incluent des organisations de différentes régions du monde, avec une concentration particulièrement élevée sur les serveurs américains exposés à Internet.

“Au cours des 18 à 24 derniers mois, nous avons identifié un schéma clair : des campagnes de reconnaissance ciblant des technologies spécifiques qui, quelques semaines plus tard, précèdent la révélation de nouvelles vulnérabilités”, a expliqué Bob Rudis, vice-président en science des données chez GreyNoise.

Une possible avant-première d’une nouvelle vulnérabilité

Bien qu’aucun défaut spécifique n’ait été confirmé dans GlobalProtect, le comportement observé rappelle les campagnes antérieures où les attaquants cartographient des actifs vulnérables pour exploiter de futures failles de sécurité, même celles qui restent inconnues (zero-days).

GreyNoise a également trouvé une correspondance avec une activité parallèle enregistrée le 26 mars, impliquant un scanner de PAN-OS qui a impliqué 2 580 IP, ce qui pourrait faire partie de la même opération ou partager une infrastructure commune.

Les chercheurs comparent ce schéma avec la campagne d’espionnage ArcaneDoor, révélée par Cisco Talos en 2024, qui visait également des dispositifs périmétriques et des réseaux d’entreprise.

Recommandations urgentes pour les administrateurs

Bien que Palo Alto Networks n’ait pas encore confirmé de vulnérabilité exploitée dans cette campagne, elle a publié un bref communiqué indiquant que ses équipes sont « activement en train de surveiller la situation » et que « la sécurité des clients est sa priorité principale ».

En attendant, GreyNoise recommande aux administrateurs de systèmes utilisant GlobalProtect de faire ce qui suit :

• Auditer les journaux depuis la mi-mars pour détecter des balayages anormaux ou des tentatives d’accès suspectes.
• Rechercher des signes de compromission dans leurs infrastructures périmétriques.
• Renforcer la configuration des portails de connexion, y compris l’utilisation de l’authentification multifactorielle et des politiques d’accès restrictives.
• Mise à jour vers la dernière version de PAN-OS, en suivant les meilleures pratiques du fabricant.
• Bloquer les IP malveillantes connues fournies par GreyNoise.

⚠️ Conclusion

La vague de balayages contre GlobalProtect ne semble pas être un fait isolé, mais fait partie d’un schéma répétitif de surveillance préalable à l’exploitation. Bien qu’il n’y ait pas encore de preuves concrètes d’une attaque en cours, les organisations doivent adopter une posture proactive et renforcer leurs contrôles de sécurité avant qu’il ne soit trop tard.

Références : Bleeping computer et GreyNoise