超前部署|黑客搶先試探未曝光漏洞 Cisco、Palo Alto Networks及Fortinet成主要目標
根據威脅情報公司 GreyNoise 發表的報告,針對 Cisco、Palo Alto Networks 和 Fortinet 設備的攻擊行動有規模化趨勢,而且疑似由同一批黑客組織主導。最重要是黑客的試探行動往往較廠方發現零日漏洞的時間還要早,顯示威脅者對漏洞情報的掌握速度遠超預期,甚至可能與漏洞披露前的內部情報洩露有關。
黑客早於 Cisco 官方宣布前行動
GreyNoise 於九月初首次發現黑客開始針對 Cisco ASA 設備進行掃描行動,而這一時間點比 Cisco 官方公布 Secure Firewall Adaptive Security Appliance(ASA)和 Secure Firewall Threat Defense(FTD)軟件中兩個零日漏洞的時間早了近三週。這兩個編號為 CVE-2025-2033(CVSS 評分 9.9)和 CVE-2025-20362(CVSS 評分 6.5)的漏洞據指已被用於一項名為「ArcaneDoor」的中國黑客間諜活動上。
除了 Cisco,Palo Alto Networks 防火牆的 GlobalProtect 登入網站近日也成為黑客活動的重點目標。GreyNoise 報告指出在短短兩天內,針對該入口的掃描活動激增了五倍,參與 IP 數量從 1,300 個飆升至 2,200 個,顯示越來越多威脅者正積極加入其中。在過去一週內,針對 Palo Alto Networks 防火牆的獨立登入嘗試更超過 130 萬次,規模與持續性令人震驚。
針對三公司的行動具共通點
同時間,針對 Fortinet VPN 的暴力破解攻擊行動亦在升溫。報告指出,這些攻擊通常在 Fortinet VPN 漏洞公開後的六週內達到高峰,GreyNoise 還公開了黑客使用的帳號密碼清單,進一步暴露了攻擊的細節。專家指針對三間公司的攻擊行動具有多個共通點,包括共享 TCP 指紋、使用相同子網段進行攻擊,活躍時間亦有高度一致性,反映這波攻擊可能是有組織、有計劃的大規模行動的一部分。
面對這種威脅,專家認為其客戶必須做足安全措施,首要任務是持續追蹤官方公告並及時安裝廠商釋出的修補程式,確保所有防火牆與相關設備運作於最新且已修補的版本。同時,應加強管理介面的存取權限控制,僅允許授權人員透過內部網路或安全的 VPN 連線進行管理。日常運作中,應加強日誌監控與異常行為偵測,主動查核異常登入、暴力破解等事件,並根據威脅情報即時封鎖可疑或已知惡意的 IP 位址,降低攻擊風險。
