Netcrook Logo
👤 NETAEGIS
🗓️ 18 Dec 2025   🌍 North America

VPN Sotto Assedio: Massiccio Attacco di Password Spraying Colpisce Cisco e Palo Alto Networks

Sottotitolo: Attacchi automatizzati inondano i gateway VPN aziendali, evidenziando i rischi persistenti delle credenziali deboli e delle minacce ospitate nel cloud.

Proprio quando pensavi che il tuo accesso remoto fosse sicuro, una nuova ondata di attacchi informatici automatizzati sta martellando le porte digitali delle reti aziendali. In un periodo febbrile di 16 ore, oltre 1,7 milioni di tentativi di accesso hanno preso di mira i portali VPN GlobalProtect di Palo Alto Networks, seguiti rapidamente da un’ondata contro gli endpoint Cisco SSL VPN. Gli attacchi - coordinati, incessanti e preoccupantemente sofisticati - segnalano una rinnovata offensiva contro la spina dorsale dell’accesso remoto aziendale: la Virtual Private Network.

Dati Principali

  • Oltre 1,7 milioni di tentativi di accesso hanno preso di mira le VPN GlobalProtect di Palo Alto in sole 16 ore.
  • Gli attacchi sono partiti da più di 10.000 IP unici, per lo più da un provider cloud tedesco (3xK GmbH).
  • Tattiche simili di password spraying hanno colpito le VPN SSL di Cisco, con gli IP degli attaccanti saliti a 1.273.
  • Gli aggressori hanno usato script automatizzati con credenziali comuni, senza sfruttare vulnerabilità software.
  • I fornitori raccomandano password robuste, autenticazione a più fattori e monitoraggio costante.

Dentro l’Attacco: Come si Sta Evolvendo il Password Spraying

L’ultimo assalto alle VPN aziendali è iniziato l’11 dicembre, quando gli analisti di sicurezza di GreyNoise hanno rilevato un’impennata drammatica nei tentativi di accesso ai portali GlobalProtect di Palo Alto Networks. Gli attacchi - provenienti da una vasta rete di oltre 10.000 indirizzi IP - sono stati ricondotti quasi interamente al provider cloud tedesco 3xK GmbH, suggerendo un’operazione ben finanziata e centralizzata. Gli obiettivi? Infrastrutture critiche negli Stati Uniti, in Messico e in Pakistan.

A differenza degli attacchi brute force che colpiscono un singolo account con migliaia di tentativi di password, questi aggressori hanno utilizzato il password spraying: alternando nomi utente e password comuni su un’ampia gamma di account. Gli script automatizzati imitavano i flussi di accesso legittimi, gestendo persino le protezioni CSRF, il tutto camuffandosi da browser Firefox - una scelta insolita per i bot, ma che li aiuta a eludere le misure di rilevamento di base.

Nell’arco di un giorno, gli attaccanti hanno spostato la loro attenzione sugli endpoint Cisco SSL VPN, utilizzando nuovamente la stessa infrastruttura IP ospitata in Germania e impronte tecniche simili. Il numero di IP unici coinvolti è salito a 1.273, un netto balzo rispetto al solito rumore di fondo. GreyNoise ha sottolineato che questi episodi non sono collegati all’exploit zero-day (CVE-2025-20393) recentemente divulgato da Cisco, ma riflettono invece le classiche tattiche di credential stuffing.

Sia Palo Alto Networks che Cisco hanno confermato di essere a conoscenza dell’attività. “Si tratta di tentativi automatizzati per individuare credenziali deboli,” ha dichiarato un portavoce di Palo Alto, sottolineando che non sono state sfruttate vulnerabilità nei loro prodotti. Gli attacchi mettono invece in luce i rischi persistenti derivanti da password deboli o riutilizzate, anche quando il software è sicuro.

GreyNoise e i fornitori invitano le aziende ad agire immediatamente: imporre politiche di password robuste, abilitare l’autenticazione a più fattori, controllare gli apparati VPN per accessi sospetti e bloccare gli intervalli IP noti come malevoli. Poiché gli attaccanti sfruttano sempre più le risorse cloud per automatizzare e scalare le loro campagne, il peso della difesa ricade sempre di più sulle organizzazioni, che devono rafforzare i gateway di autenticazione.

Conclusione: Il Fattore Umano Resta l’Anello Debole

Questa ultima ondata di password spraying è un chiaro promemoria: anche la tecnologia più solida può essere compromessa da una cattiva igiene delle credenziali. Mentre gli attaccanti innovano con automazione e infrastrutture cloud, i difensori devono rafforzare i fondamentali - password forti, autenticazione a più livelli e vigilanza costante. La guerra per il gateway VPN non è finita - e la prossima ondata potrebbe essere già in corso.

WIKICROOK

  • Password Spraying: Il password spraying è un attacco informatico in cui poche password comuni vengono provate su molti account per evitare il rilevamento e aggirare i meccanismi di blocco degli account.
  • VPN Gateway: Un gateway VPN collega in modo sicuro utenti o reti remote alla rete interna di un’azienda, criptando i dati e proteggendo dagli accessi non autorizzati.
  • Credential Stuffing: Il credential stuffing si verifica quando gli aggressori usano nomi utente e password rubati da un sito per tentare di accedere ad account su altri siti.
  • CSRF (Cross: Il CSRF è un attacco web in cui gli hacker inducono il browser a inviare richieste non autorizzate a un sito su cui sei autenticato, sfruttando la tua sessione.
  • Zero: Una vulnerabilità zero-day è una falla di sicurezza sconosciuta al produttore del software, senza una correzione disponibile, che la rende molto preziosa e pericolosa per gli aggressori.
VPN Security Password Spraying Cyberattacks
NETAEGIS NETAEGIS
Distributed Network Security Architect
← Back to news