Zmasowane ataki password spraying na bramy VPN Cisco i Palo Alto (GlobalProtect)

Wprowadzenie do problemu / definicja luki

W połowie grudnia 2025 r. GreyNoise odnotował skoordynowaną kampanię automatycznych prób logowania (password spraying / credential stuffing) wymierzoną w bramy uwierzytelniania VPN dwóch producentów: Palo Alto Networks GlobalProtect oraz Cisco SSL VPN. Wnioski badaczy i doniesienia prasowe potwierdzają, iż mamy do czynienia z falą zautomatyzowanych żądań logowania, a nie z wykorzystaniem konkretnej podatności w samym oprogramowaniu VPN.

W skrócie

• Skala: ~1,7 mln sesji w ciągu 16 godzin przeciwko portalom GlobalProtect (11 grudnia), z ponad 10 tys. unikalnych adresów IP. Następnego dnia wzrost prób na Cisco SSL VPN do 1 273 unikalnych IP (znacznie powyżej typowej bazowej <200).
• Infrastruktura sprawców: niemal cały ruch pochodził z zakresów 3xK GmbH (Niemcy); spójny odcisk TCP i identyczne wzorce ruchu wskazują na jedną kampanię pivotującą między platformami VPN.
• Technika: powtarzalne kombinacje login/hasło, jednolity user-agent (Firefox / Windows 10), prawidłowe przepływy uwierzytelniania (w tym CSRF), co potwierdza automatyzację i brak exploitów.
• To NIE jest AsyncOS 0-day: GreyNoise nie widzi związku z ujawnioną 17 grudnia kampanią na urządzenia Cisco Secure Email Gateway/SEWM (CVE-2025-20393).

Kontekst / historia / powiązania

Skoki ruchu na GlobalProtect obserwowano już wcześniej — m.in. 14–20 listopada (2,3 mln sesji skanowania) oraz 2 grudnia (7 000+ IP), przy czym w obu przypadkach źródłem była ta sama infrastruktura 3xK GmbH. Obecna fala z 11–12 grudnia wpisuje się w tę sekwencję i wygląda na kontynuację/inwentaryzację na większą skalę.

Analiza techniczna / szczegóły luki

• Wejście: Publicznie dostępne portale uwierzytelniania GlobalProtect oraz Cisco SSL VPN.
• Łańcuch żądania: żądania HTTP na endpointy logowania, obsługa tokenów CSRF, parametry login/password, silnie powtarzalne nagłówki i treści. Dla Cisco dominujący UA: Mozilla/5.0 (Windows NT 10.0; Win64; x64); dla Palo Alto częsty UA Firefox — oba nietypowe dla zwykłych skanerów tego operatora.
• TTPs:
  • Password spraying / credential stuffing z użyciem puli standardowych/wyciekłych haseł.
  • Jednolita sygnatura TCP/JA4t i ta sama przestrzeń IP → wysoka spójność narzędziowa.
  • Pivot: po fali na GlobalProtect szybkie przełączenie na Cisco SSL VPN (w 24 h).
• Brak oznak exploitów zero-day/n-day na bramach VPN; żądania imitują legalną ścieżkę logowania.

Praktyczne konsekwencje / ryzyko

• Ryzyko przejęcia konta (zwłaszcza kont bez MFA, kont serwisowych, starszych kont SSO, kont z recyklingiem haseł).
• Ryzyko DoS logicznego (lockouty i „wybicie” okienka logowania przy masowych próbach).
• Ryzyko eskalacji: po jednorazowym wejściu przez VPN możliwe przełamanie segmentacji i lateral movement.
• Fałszywe poczucie bezpieczeństwa: brak CVE ≠ brak incydentu — to kampania uwierzytelnieniowa, a nie exploitowa. Doniesienia branżowe i prasowe zgodnie to podkreślają.

Rekomendacje operacyjne / co zrobić teraz

Priorytet — edge & tożsamość:

1. Wymuś MFA (najlepiej phishing-resistant: FIDO2/Passkeys, WebAuthn) na portalach VPN/SSO; wyłącz fallbacki SMS/TOTP tam, gdzie to możliwe.
2. Blokuj źródła znane z kampanii (zakresy 3xK GmbH i konkretne IP z list GreyNoise; aktualne bloki/„tags” są publikowane przez GN).
3. Twarde polityki haseł + sprawdzanie przeciw wyciekom (HIBP/CrackStation, itp.), rotation tylko ryzyko-based, zakaz recyklingu.
4. Ogranicz powierzchnię:
   • dostęp do portali wyłącznie z zaufanych AS/geo/VPN klienta (geo-fencing, allow-list),
   • CAPTCHA / rate-limiting / tar-pit na formularzach logowania,
   • ukryj portale za IdP z federation only i conditional access.
5. Monitoring i detekcja:
   • reguły UEBA/behavioral na anomalne login bursts i UA fingerprint opisany przez GN,
   • alerty na wiele nieudanych logowań z wielu IP do jednego konta,
   • korelacja z logami GlobalProtect/Cisco SSL VPN i SIEM.
6. Higiena kont: wyłącz/stale audytuj konta serwisowe, narzuć MFA i długie hasła; minimalizuj scope i privs.
7. Playbook IR: gotowe runbooki blokad, wymuszenia resetów po próbach spraying, komunikacja do użytkowników.
8. Oddzielny wątek: AsyncOS (CVE-2025-20393) — jeżeli masz Cisco SEG/SEWM, zastosuj tymczasowe obejścia i zalecenia Cisco, bo to niezależna, aktywnie wykorzystywana 0-day na inny produkt.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Obecna kampania (VPN): zautomatyzowane loginy bez exploitów; cel — odkryć słabe hasła/konta bez MFA w GlobalProtect/Cisco SSL VPN.
• AsyncOS 0-day (CVE-2025-20393): wykorzystywana luka RCE z persystencją (AquaShell/AquaTunnel/Chisel) na Secure Email Gateway/SEWM, wymagająca specyficznej konfiguracji (Spam Quarantine wystawione do Internetu). Inny wektor, inne systemy.

Podsumowanie / najważniejsze wnioski

Ataki na warstwę uwierzytelniania bram VPN znów przyspieszyły — tym razem w formie skoordynowanej kampanii, która w 24 godziny przestawiła się z GlobalProtect na Cisco SSL VPN. Nie potrzebujesz CVE, by zostać zhakowanym: MFA, polityki haseł, geofencing i monitoring to dziś „must-have” na brzegu sieci. Jednocześnie nie mylmy tej fali z incydentami wokół AsyncOS — to dwa różne problemy, oba wymagające działania.

Źródła / bibliografia

• GreyNoise: „Coordinated Credential-Based Campaign Targets Cisco and Palo Alto Networks VPN Gateways”, 17 grudnia 2025. (GreyNoise)
• BleepingComputer: „New password spraying attacks target Cisco, PAN VPN gateways”, 18 grudnia 2025. (BleepingComputer)
• Cisco Security Advisory: „Reports About Cyberattacks Against Cisco Secure Email and Web Manager” (CVE-2025-20393), 17 grudnia 2025. (Cisco)
• Cisco Talos: „UAT-9686 actively targets Cisco Secure Email Gateway and Secure Email and Web Manager”, 17 grudnia 2025. (Cisco Talos Blog)
• Cybersecurity Dive: „Surge of credential-based hacking targets Palo Alto Networks GlobalProtect portals…”, 18 grudnia 2025. (Cybersecurity Dive)