A Palo Alto Networks registrou um aumento de quase 500% nas atividades de varredura em seus portais de login em apenas 24 horas, segundo relatório divulgado pela empresa de inteligência de ameaças GreyNoise na sexta-feira (3/10).
O pico abrupto, considerado o maior dos últimos três meses, levanta preocupações sobre uma mobilização coordenada de hackers visando a infraestrutura da gigante de cibersegurança.
De acordo com os dados da GreyNoise, a ofensiva envolveu 1.300 endereços IP exclusivos, um salto expressivo em comparação com a média anterior de cerca de 200. A análise mostra que 93% desses IPs foram classificados como suspeitos e 7% como maliciosos, indicando uma ampla rede de possíveis invasores.
Embora a maioria das origens esteja geolocalizada nos Estados Unidos, também foram detectadas atividades vindas do Reino Unido, Holanda, Canadá e Rússia.
Ataques semelhantes aos da Cisco ASA
A GreyNoise observou fortes semelhanças entre este episódio e as varreduras direcionadas aos dispositivos Cisco ASA, registradas nas 48 horas anteriores.
“Este aumento repentino na Palo Alto compartilha características com a varredura do Cisco ASA”, informou a empresa, destacando a sobreposição de fingerprints TLS e a infraestrutura ligada à Holanda.
Esse tipo de padrão preocupa especialistas, pois frequentemente antecipa a descoberta de novas vulnerabilidades (CVEs).
Em abril de 2025, a GreyNoise já havia reportado atividades de varredura anormais nos gateways PAN-OS GlobalProtect da Palo Alto Networks — comportamento que costuma preceder a divulgação de falhas críticas.
Varreduras costumam anteceder vulnerabilidades
O relatório Early Warning Signals, da GreyNoise, publicado em julho de 2025, identificou uma correlação direta entre surtos de varredura e novas vulnerabilidades.
Segundo o estudo, explorações em larga escala, ataques de força bruta e tentativas de login automatizado geralmente são seguidos, em até seis semanas, pela divulgação de uma CVE grave afetando a mesma tecnologia.
Um exemplo recente reforça esse alerta: em setembro, varreduras suspeitas contra o Cisco ASA foram seguidas pelo anúncio de dois zero-days (CVE-2025-20333 e CVE-2025-20362), que estavam sendo explorados para implantar os malwares RayInitiator e LINE VIPER.
A Shadowserver Foundation estima que mais de 45 mil instâncias de Cisco ASA/FTD continuam vulneráveis a esses ataques.
Resposta da Palo Alto Networks
Em comunicado oficial, a Palo Alto Networks afirmou que não há indícios de comprometimento em sua infraestrutura e que a segurança dos clientes permanece garantida.
“Investigamos a atividade de varredura relatada e não encontramos evidências de invasão. A segurança dos nossos clientes é sempre a nossa maior prioridade”, declarou um porta-voz da empresa.
A companhia destacou ainda que sua plataforma Cortex XSIAM é usada internamente para defesa e automação, bloqueando cerca de 1,5 milhão de novos ataques por dia e reduzindo 36 bilhões de eventos de segurança às ameaças realmente críticas.
Segundo a empresa, a sólida postura de segurança da Palo Alto Networks garante a resiliência de sua rede mesmo diante do volume incomum de varreduras direcionadas.
