Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Witold Kepinski - 13 oktober 2025

Massale scanning van Palo Alto Networks, Cisco en Fortinet Login portals

Beveiligingsonderzoeksbureau GreyNoise heeft de afgelopen dagen een alarmerende toename in scanactiviteit tegen netwerkapparatuur van grote leveranciers vastgesteld. De scanning van Palo Alto Networks loginportalen is in 48 uur tijd met ongeveer 500% gestegen, het hoogste niveau in negentig dagen. Dit patroon van gerichte verkenningsoefeningen wordt nu met hoge mate van zekerheid in verband gebracht met vergelijkbare escalaties tegen Cisco ASA-apparaten en Fortinet SSL VPN’s.

Cybercrime Security Networking Cybersecurity
Massale scanning van Palo Alto Networks, Cisco en Fortinet Login portals image

De bevindingen duiden erop dat dezelfde dreigingsactoren achter een gecoördineerde reeks aanvallen zitten, gericht op kwetsbare inlogportalen van cruciale netwerkinfrastructuur.

Gecoördineerde aanvallen gebruiken gedeelde infrastructuur

Vanaf 3 oktober zag GreyNoise een scherpe stijging in het aantal unieke IP-adressen dat Palo Alto Networks PAN-OS GlobalProtect loginportalen scant. Op 7 oktober piekte de activiteit met meer dan 2.200 unieke IP's.

Op 8 oktober bevestigde GreyNoise de correlatie tussen drie recente campagnes:

  • Scanning van Cisco ASA-apparaten.
  • Verhoogde inlogpogingen tegen Palo Alto loginportalen.
  • Een piek in brute force-pogingen tegen Fortinet SSL VPN’s.

Deze link wordt ondersteund door een terugkerende vingerafdruk (gedeelde TCP-fingerprints), het gebruik van dezelfde subnets en de gelijktijdige escalatie van de activiteiten. De subnets die het meest werden gebruikt, zijn gekoppeld aan AS200373 (3xK Tech GmbH) en AS11878 (tzulo, Inc.).

Verhoogd risico op Zero-Day kwetsbaarheden

De toegenomen scanning is extra zorgwekkend gezien eerdere observaties van GreyNoise. Eerder onderzoek in juli wees uit dat pieken in brute force-pogingen tegen Fortinet VPN's vaak worden gevolgd door de publieke onthulling van nieuwe Fortinet VPN-kwetsbaarheden binnen zes weken. Hoewel een dergelijke correlatie bij Palo Alto nog niet bewezen is, roept de huidige escalatie verdedigers op tot verhoogde waakzaamheid.

De snelle opeenvolging van inlogpogingen tegen Palo Alto suggereert bovendien dat de dreigingsactoren een grote dataset van gestolen of gelekte inloggegevens proberen te testen.

Oproep aan defensieteams

Defensieteams worden met klem geadviseerd hun beveiliging van firewall- en VPN-apparatuur onmiddellijk aan te scherpen. De activiteit wordt geclassificeerd als gerichte verkenning en onderscheidt zich duidelijk van alledaagse achtergrondscanning.

Organisaties kunnen preventieve maatregelen nemen door:

  • IP's die betrokken zijn bij de Fortinet VPN brute forcing en Palo Alto scanning direct te blokkeren.
  • Aanvullende verdedigingslagen te implementeren, gezien de gecoördineerde aard van de aanvallen over verschillende technologieplatforms.

GreyNoise heeft een lijst gepubliceerd van de gebruikte gebruikersnamen en wachtwoorden uit de recente Palo Alto- en Fortinet-campagnes ter beoordeling door defensieteams. De dreigingsactoren lijken hun focus te verbreden, gezien de toename in unieke Autonome Systemen (ASNs) die bij de scans betrokken zijn.

Flex IT Distribution BW + BN Outvie Dag van de CDO BW + BN

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2026

Event icon

Event

Eurofiber You're on Stage Academy 2025

Alle events
Flex IT Distribution BW + BN

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.