Forse piek in scans gericht op SSR-systemen van Juniper Networks en PAN-OS GlobalProtect van Palo Alto Networks
Een onbekende partij scant op grote schaal Session Smart Networking Platform-systemen, ook bekend als Session Smart Routing (SSR)-systemen, van Juniper Networks op het gebruik van een standaardgebruikersnaam en -wachtwoord. Ook is een grote piek te zien in scans gericht op het inlogportaal van Palo Alto Networks’s PAN-OS GlobalProtect.
Johannes Ulrich van het Internet Storm Center van het SANS Technology Institute waarschuwt een grote piek te zien in scans van Session Smart Networking Platform-systemen. De focus ligt daarbij op het gebruik van de gebruikersnaam 't128' en het wachtwoord '128tRoutes', wat inloggegevens voor Session Smart Networking Platform-systemen zijn.
"De scans die we waarnamen, duurden van 23 maart tot 28 maart. Ongeveer 3000 bron-IP-adressen namen deel aan deze scans. Veel van de bronnen die deelnamen aan de scan zijn bekend om het scannen van SSH en behoren waarschijnlijk tot een "Mirai Type" botnet", aldus Ulrich. Hij adviseert te controleren dat zij geen standaardinloggegevens gebruiken.
Fors meer scans gericht op PAN-OS GlobalProtect-producten
Tegelijkertijd waarschuwt beveiligingsbedrijf GreyNoise voor een forse stijging in het aantal scans gericht op Palo Alto Networks’s PAN-OS GlobalProtect-producten. Het vermoedt dat kwaadwillenden op ziek zijn naar verkeerd geconfigureerde of kwetsbare producten. GreyNoise wijst op inlogpogingen vanaf bijna 24.000 unieke IP-adressen in de afgelopen 30 dagen.
"In de afgelopen 18 tot 24 maanden hebben we een consistente trend waargenomen van opzettelijke aanvallen op oudere kwetsbaarheden of bekende aanvals- en verkenningstechnieken gericht op specifieke technologieën", meldt Bob Rudis, VP van Data Science bij GreyNoise. "Deze patronen komen vaak overeen met nieuwe kwetsbaarheden die 2 tot 4 weken later aan het licht komen."
Over Wouter Hoeffnagel
