ការកើនឡើងនៃការស្គេនគួរឱ្យសង្ស័យដែលមានគោលដៅលើ Palo Alto Networks Login Portal បង្ហាញពីការឈ្លបយកការណ៍យ៉ាងច្បាស់ពីអាសយដ្ឋាន IP គួរឱ្យសង្ស័យ បើយោងតាមការព្រមានពីអ្នកស្រាវជ្រាវ។
ក្រុមហ៊ុនស៊ើបអង្កេតសន្តិសុខសាយប័រ GreyNoise រាយការណ៍ពីការកើនឡើង IP Address ៥០០% បានផ្តោតលើ Palo Alto Networks GlobalProtect និង PAN-OS Profiles។ សកម្មភាពនេះបានបញ្ចប់នៅថ្ងៃទី៣ ខែតុលា ដែលមាន IP មិនតិចជាង ១,២៨៥ទេ ទាក់ទងនឹងការកំណត់គោលដៅនេះ ។ ការស្គេនប្រចាំថ្ងៃមិនលើសពី ២០០ Addresses ទេ បើយោងតាមក្រុមហ៊ុន។
IPs ភាគច្រើនមានទីតាំងនៅអាមេរិក ខណៈដែល Clusters តូចៗមានមូលដ្ឋាននៅអង់គ្លេស Netherlands កាណាដា និងរុស្ស៊ី។ Cluster មួយបានប្រមូលផ្តុំចរាចរណ៍របស់វាទៅលើគោលដៅនៅអាមេរិក និងមួយទៀតបានផ្តោតលើប៉ាគីស្ថាន បើយោងតាមអ្នកស្រាវជ្រាវកត់សម្គាល់ថា ស្នាមម្រាមដៃ TLS ខុសគ្នា ប៉ុន្តែមិនមែនគ្មានការត្រួតស៊ីគ្នានោះទេ (Overlay)។ យោងតាម GreyNoise បានឱ្យដឹងថា ៩១%នៃ IP Addresses ត្រូវបានចាត់ទុកថាគួរឱ្យសង្ស័យ រីឯ ៧%ត្រូវបានកំណត់ថាជាការព្យាបាទ។ GreyNoise បានពន្យល់ថា សកម្មភាពស្ទើរទាំងអស់មានគោលដៅលើកម្រងព័ត៌មាន Palo Alto ដែលបានកូពីតាម GreyNoise (Palo Alto GlobalProtect, Palo Alto PAN-OS) ដោយបង្ហាញថា សកម្មភាពនេះត្រូវបានកំណត់គោលដៅមានលក្ខណៈទូទៅ (Nature) ដែលទំនងបានមកពីសាធារណៈ (ឧ. Shodan, Censys) ឬការស្គេនស្នាមម្រាមដៃ ដែលមានប្រភពដើមពី Palo Alto បើយោងតាម GreyNoise។
GreyNoise បានព្រមានថា សកម្មភាពស្គេនតែងតែបង្ហាញពីការរៀបចំសម្រាប់ការវាយប្រហារដោយប្រើការកេងចំណេញថ្មីលើបញ្ហា Zero-day ឬ N-day។ ក្រុមហ៊ុនសន្តិសុខសាយប័របានបញ្ចេញការព្រមាននាពេលថ្មីៗនេះអំពី ការស្គេនណិតវើកកើនឡើងតម្រង់ទៅរកឧបករណ៍ Cisco ASA។ ២សប្តាហ៍ក្រោយ ព័ត៌មានបានបង្ហាញពីការកេងចំណេញលើភាពងាយរងគ្រោះ Zero-day នៅក្នុងការវាយប្រហារ ដែលមានគោលដៅលើផលិតផល Cisco ដូចគ្នា។ ទោះជាយ៉ាងណា GreyNoise ថ្លែងថា ទំនាក់ទំនងដែលត្រូវបានសង្កេតឃើញគឺខ្សោយជាងការស្គេនថ្មីៗដែលផ្តោតលើផលិតផល Palo Alto Networks។
បច្ចុប្បន្នភាពថ្ងៃទី៦ ខែតុលា៖ ក្រុមហ៊ុន Palo Alto Networks បានផ្ញើសារប្រាប់សារព័ត៌មាន BleepingComputer នូវមតិខាងក្រោមទាក់ទងនឹងសកម្មភាពដែល GreyNoise បានប្រទះឃើញ៖ សុវត្ថិភាពអតិថិជនរបស់ក្រុមហ៊ុនគឺជាអាទិភាពចម្បង។ ក្រុមហ៊ុនបានស៊ើបអង្កេតសកម្មភាពស្គេនដែលបានរាយការណ៍ និងពុំបានរកឃើញភស្តុងតាងពីការវាយប្រហារ (Compromise) ណាមួយនោះទេ។ Palo Alto Networks ត្រូវបានការពារដោយ Cortex XSIAM Platform របស់ក្រុមហ៊ុន ដែលបញ្ឈប់ការវាយប្រហារថ្មីប្រមាណជា ១,៥លានជាប្រចាំថ្ងៃ និងកាត់បន្ថយបញ្ហាទាក់ទងនឹងសន្តិសុខចំនួន ៣៦ពាន់លានដែលបានចូលគំរាមកំហែងដ៏សំខាន់បំផុត ដើម្បីធានាថា ហេដ្ឋារចនាសម្ព័ន្ធរបស់ក្រុមហ៊ុននៅតែមានសុវត្ថិភាព។
Grafana ក៏ក្លាយជាគោលដៅដែរ៖ អ្នកស្រាវជ្រាវក៏បានកត់សម្គាល់ពីការកើនឡើងនៃការប៉ុនប៉ងកេងចំណេញលើភាពងាយរងគ្រោះ Path Traversal នៅក្នុង Grafana។ បញ្ហាសុវត្ថិភាពត្រូវបានកំណត់ថាជា CVE-2021-43798 និងត្រូវបានកេងចំណេញកាលពីចុងឆ្នាំ២០២១ នៅក្នុងការវាយប្រហារ Zero-day។ GreyNoise បានសង្កេតឃើញ IP ព្យាបាទចំនួន ១១០ ដែលភាគច្រើនចេញពីបង់ក្លាដែស នៅក្នុងការវាយប្រហារកាលពីចុងខែកញ្ញា។ គោលដៅមានមូលដ្ឋាននៅអាមេរិក ស្លូវាគី និងតៃវ៉ាន់ ដោយការវាយប្រហាររក្សាសមាមាត្រទិសដៅស្របគ្នា ផ្អែកលើប្រភពដើមជាក់លាក់ ដែលជាធម្មតាបង្ហាញពីស្វ័យប្រវត្តិកម្ម។
GreyNoise ណែនាំឱ្យអ្នកគ្រប់គ្រង (Admins) ឱ្យធានាថា Grafana Instances របស់ពួកគេត្រូវបាន Patch ប្រឆាំងនឹងបញ្ហា CVE-2021-43798 និងរារាំង IP Address ព្យាបាទចំនួន ១១០ ដែលបានកំណត់។ អ្នកស្រាវជ្រាវក៏បានណែនាំឱ្យត្រួតពិនិត្យការចូលស្វែងរកភស្តុតាងអំពី Path Traversal Requests ដែលប្រហែលជាការប្រគល់ត្រលប់មកវិញនូវ (Return) ឯកសារសម្ងាត់។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៤ ខែតុលា ឆ្នាំ២០២៥
