此篇文章聚焦於近期鎖定企業邊界設備的大規模網路攻擊行動,說明攻擊者如何在極短時間內集中火力掃描與嘗試入侵特定廠牌的SSL VPN與防火牆設備。文章一開始指出,上個月有人針對Palo Alto Networks 旗下的 SSL VPN 平臺 GlobalProtect 發動攻擊,在短短一天之內,攻擊流量暴增到原本的四十倍,短短五天內就偵測到超過二百三十萬次企圖存取 GlobalProtect 的活動。也就是說,此篇文章所描述的並非零星個案,而是具有系統性與規模感的攻擊行動,對目前大量仰賴 SSL VPN 進行遠端連線的企業來說,是一個極為值得警惕的訊號。更令人擔憂的是,這波攻擊不只是瞬間爆發後就消失,文章提到,在短時間間隔之後,類似的活動又再度出現,代表攻擊者並未停止,而是持續調整與測試他們的行動策略。
進一步來看,此篇文章引用威脅情報業者 GreyNoise 的觀察,具體描繪此次攻擊的技術細節與來源脈絡。12 月 2 日,GreyNoise 偵測到新一波攻擊,攻擊者透過超過七千個 IP 位址嘗試登入 GlobalProtect,這樣的數量顯示攻擊背後有相當龐大的基礎設施支撐。更關鍵的是,這些攻擊流量都來自同一間德國公司 3xK GmbH 所經營的網路基礎設施。GreyNoise 並非只看 IP 數量,而是比對三個來源用戶端的身分特徵(fingerprint),發現這些用戶端早在 9 月下旬到 10 月中旬,就曾被用在其他攻擊行動中。當時他們注意到,攻擊者使用的自治系統編號(ASN)過去並未與惡意基礎設施有關聯,意味著這可能是新近被挪用、租用或轉用途徑的網路資源,背後極可能是有組織的攻擊集團在經營。文章也提到,記者曾向 Palo Alto Networks 詢問相關情況,但在截稿前尚未取得回應,顯示事件仍在發展中,相關廠商的正式說法與後續修補措施尚未完全明朗。
然而,文章真正要提醒讀者的是,這波攻擊並非只鎖定單一廠牌或單一產品,而是呈現出「目標轉移但攻擊者不變」的態勢。文章指出,在 GreyNoise 發現攻擊 GlobalProtect 的隔天,威脅情勢出現明顯變化:攻擊者迅速轉向鎖定 SonicWall 的防火牆設備,針對其防火牆作業系統 SonicOS 所提供的 API 進行大規模掃描。換句話說,同一批攻擊者在極短時間內,從掃描與嘗試登入 SSL VPN 平臺,轉為掃描防火牆作業系統的 API 介面,顯示其目標是整體企業邊界設備,而非單一弱點或單一品牌。GreyNoise 指出,雖然從外觀上看來,攻擊所依賴的基礎設施似乎有調整,被鎖定的設備廠牌也從 Palo Alto Networks 轉為 SonicWall,但他們從來源用戶端的 fingerprint 判斷,這些攻擊來源其實完全一致。此篇文章藉由這個對照,提醒讀者,現在的資安風險並不是某個設備「運氣不好被盯上」,而是一整套可快速轉向、橫移至不同設備與廠牌的攻擊行動正在進行中。對企業與機構而言,重點不只是關注某一套系統是否有漏洞公告,而是要理解攻擊者會以批次掃描、跨品牌鎖定邊界設備為策略,若沒有持續監控異常流量、更新設備韌體與及早檢視暴露在網路上的管理介面,很可能在這樣的攻擊浪潮中成為下一個目標。
