--- title: "Alerta SysAdmin: Aumentam em 500% as varreduras em portais de login da Palo Alto Networks" author: "Gustavo Ramos O. Klein" date: "2025-10-05 16:06:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2025/10/05/alerta-sysadmin-aumentam-em-500-as-varreduras-em-portais-de-login-da-palo-alto-networks/md" --- # Alerta de Rede: Scans em Portais da Palo Alto Networks Explodem Administradores de sistema, preparem o café e reforcem as defesas. A empresa de inteligência em cibersegurança GreyNoise emitiu um comunicado que está fazendo muito firewall trabalhar dobrado: foi detectado um aumento massivo de 500% no volume de varreduras suspeitas mirando os portais de login GlobalProtect e PAN-OS, da Palo Alto Networks. Essa atividade, que atingiu seu pico em 3 de outubro com mais de 1.285 endereços IP únicos, é um forte indicativo de uma fase de reconhecimento, que muitas vezes funciona como o prelúdio para ataques mais direcionados e complexos. ## A Anatomia de uma Varredura em Massa Para colocar os números em perspectiva, o volume diário de varreduras em portais da Palo Alto Networks normalmente não ultrapassa 200 endereços distintos. O salto para 1.285 IPs representa uma anomalia estatística impossível de ignorar. Segundo a análise da GreyNoise, 91% desses endereços de IP foram classificados como 'suspeitos', enquanto outros 7% já foram diretamente rotulados como 'maliciosos'. Pense nesses scans como batedores em um campo de batalha digital, mapeando o terreno e as defesas antes da chegada da cavalaria. A origem dessa atividade também desenha um mapa interessante. A maioria dos IPs observados foi geolocalizada nos Estados Unidos, com grupos menores operando a partir do Reino Unido, Países Baixos, Canadá e Rússia. A GreyNoise identificou dois clusters de atividade principais: um com foco em alvos nos EUA e outro concentrado no Paquistão, ambos exibindo 'impressões digitais TLS' distintas, mas com alguma sobreposição, o que sugere uma operação coordenada. ## Reconhecimento Dirigido: Uma Diplomacia às Avessas O que torna este evento particularmente preocupante é sua natureza direcionada. De acordo com o relatório da GreyNoise, “quase toda a atividade foi direcionada aos perfis emulados da Palo Alto” pela empresa, indicando que não se trata de ruído aleatório na internet. É como se os atacantes estivessem enviando 'diplomatas' – os IPs de varredura – para bater na porta dos sistemas da Palo Alto, não para negociar, mas para verificar se a fechadura é fraca e se alguém está em casa. Essa inteligência provavelmente foi coletada a partir de bancos de dados públicos, como Shodan e Censys, ou por meio de varreduras proprietárias dos próprios atacantes para identificar dispositivos da Palo Alto Networks conectados à internet. ## Déjà Vu? O Histórico da GreyNoise Esse tipo de alerta da GreyNoise costuma ter peso. A empresa recorda que emitiu um aviso semelhante sobre um aumento de varreduras em dispositivos Cisco ASA. Duas semanas depois, foi revelada a existência de uma vulnerabilidade zero-day que estava sendo ativamente explorada em ataques contra o mesmo produto. No entanto, a própria GreyNoise pondera que, no caso recente envolvendo a Palo Alto Networks, a correlação observada é 'mais fraca'. Ainda assim, o precedente serve como um lembrete severo de que onde há fumaça, pode haver fogo. ## A Resposta da Palo Alto Networks: 'Estamos Seguros' Diante do alerta, a Palo Alto Networks se manifestou oficialmente. Em um comunicado enviado ao BleepingComputer, a empresa afirmou: “A segurança de nossos clientes é sempre nossa principal prioridade. Investigamos a atividade de varredura relatada e não encontramos evidências de um comprometimento.” A companhia também expressou confiança em sua postura de segurança, destacando o uso da sua própria plataforma Cortex XSIAM, que, segundo eles, interrompe 1,5 milhão de novos ataques diariamente e processa 36 bilhões de eventos de segurança. “Continuamos confiantes em nossa robusta postura de segurança e em nossa capacidade de proteger nossa rede”, concluiu o porta-voz. ## Enquanto Isso, no Ecossistema Grafana... Como um lembrete de que o ecossistema tecnológico é um campo minado, a GreyNoise também observou um aumento nas tentativas de exploração de uma antiga vulnerabilidade de path traversal no Grafana (CVE-2021-43798), explorada como zero-day em dezembro de 2021. Em 28 de setembro, foram observados 110 IPs maliciosos únicos, a maioria de Bangladesh, lançando ataques contra alvos principalmente nos EUA, Eslováquia e Taiwan. A recomendação para os administradores é garantir que suas instâncias do Grafana estejam devidamente atualizadas. ## Conclusão: Vigilância Constante O episódio serve como um poderoso sinal de alerta para a comunidade de segurança. Embora a Palo Alto Networks não tenha encontrado evidências de comprometimento, um aumento de 500% na atividade de reconhecimento não pode ser subestimado. Para os administradores de rede, a mensagem é clara: o diálogo entre sistemas pode ser amigável, mas nem todos os 'endpoints' que batem à sua porta têm boas intenções. Monitorar logs, verificar configurações e manter uma postura de segurança proativa são as melhores políticas em um cenário onde a próxima grande ameaça pode estar, literalmente, a uma varredura de distância.