Massiver Anstieg von Scans auf Palo-Alto-Portale: 500-Prozent-Sprung : Verdächtige Aktivität deutet auf groß angelegte Erkundungswelle hin – Ähnlichkeiten mit Cisco-Scans
Das Bedrohungsanalyseunternehmen GreyNoise hat einen außergewöhnlich starken Anstieg an Scans auf Log-in-Portale von Palo Alto Networks festgestellt. Innerhalb eines Tages schnellte die Zahl der beteiligten IP-Adressen um 500 Prozent nach oben. Hinweise deuten auf gezielte Erkundungen hin, ähnlich denen, die Cisco-Systeme bereits in den Tagen zuvor betrafen.
Am 3. Oktober 2025 verzeichnete GreyNoise einen starken Anstieg der Scans auf Login-Portale von Palo Alto Networks. Die Zahl der beteiligten IP-Adressen sprang von rund 200 auf etwa 1.300 – ein Zuwachs von 500 Prozent und der höchste Wert seit drei Monaten.
Laut GreyNoise war der Datenverkehr gezielt und strukturiert und richtete sich fast ausschließlich gegen Palo-Alto-Anmeldeportale. Etwa 93 Prozent der IP-Adressen gelten als verdächtig, 7 Prozent als eindeutig bösartig.
Die meisten Aktivitäten stammen aus den Vereinigten Staaten, kleinere Cluster wurden in Großbritannien, den Niederlanden, Kanada und Russland beobachtet.
Parallelen zu Cisco-Angriffswellen
GreyNoise stellt fest, dass die aktuelle Scan-Welle gegen Palo Alto Networks deutliche Parallelen zu den jüngsten Angriffen auf Cisco-ASA-Geräte zeigt. „Der starke Anstieg bei Palo Alto ähnelt den Cisco-Scans der vergangenen 48 Stunden“, heißt es in der Analyse. „In beiden Fällen treten regionale Häufungen auf – die verwendeten Tools sind teilweise identisch.“
Beide Scan-Kampagnen verwenden laut GreyNoise denselben TLS-Fingerabdruck, der auf eine Infrastruktur in den Niederlanden hinweist. Dies deutet darauf hin, dass dieselben Akteure oder zumindest dieselben Tools hinter den Aktivitäten stehen könnten.
Keine Hinweise auf erfolgreiche Kompromittierung
Palo Alto Networks selbst reagierte auf die Berichte mit einer offiziellen Stellungnahme. Ein Unternehmenssprecher erklärte: „Die Sicherheit unserer Kunden hat für uns stets oberste Priorität. Wir haben die gemeldete Scan-Aktivität untersucht und keine Hinweise auf eine Kompromittierung gefunden.“
Das Unternehmen betonte zudem, dass die eigene Infrastruktur durch die Sicherheitsplattform Cortex XSIAM geschützt sei. „Unsere Plattform blockiert täglich 1,5 Millionen neue Angriffe und reduziert automatisiert 36 Milliarden Sicherheitsereignisse auf die wichtigsten Bedrohungen. Wir sind zuversichtlich, dass unsere Sicherheitsarchitektur unser Netzwerk effektiv schützt.“
Damit reagiert Palo Alto entspannter als im April 2025, als GreyNoise bereits verdächtige Login-Scans gegen PAN-OS GlobalProtect-Gateways gemeldet hatte. Damals hatte das Unternehmen seine Kunden aufgefordert, alle Systeme auf den neuesten Softwarestand zu bringen.
Frühe Warnsignale vor neuen Schwachstellen
GreyNoise sieht in solchen Scan-Spitzen häufig einen Frühindikator für bevorstehende Schwachstellenveröffentlichungen. In einem Early Warning Signals Report vom Juli 2025 betonte das Unternehmen, dass Wellen von Scans, Brute-Force-Versuchen oder Exploit-Aktivitäten oft innerhalb von sechs Wochen von der Veröffentlichung einer neuen Sicherheitslücke (CVE) begleitet werden.
Ein Beispiel dafür lieferte der September 2025: Bereits Ende August registrierte GreyNoise verdächtige Scans, die auf Cisco-ASA-Geräte zielten. Diese stammten von mehr als 25.000 IP-Adressen – vorwiegend aus Brasilien, Argentinien und den Vereinigten Staaten.
Nur wenige Wochen später bestätigte Cisco zwei neue Zero-Day-Schwachstellen (CVE-2025-20333 und CVE-2025-20362), die aktiv ausgenutzt wurden, um Schadprogramme wie RayInitiator und LINE VIPER einzuschleusen.
Aktuelle Daten der Shadowserver Foundation zeigen, dass weltweit über 45.000 Cisco-ASA- und FTD-Instanzen noch immer über diese Lücken angreifbar sind – darunter mehr als 20.000 in den Vereinigten Staaten und etwa 14.000 in Europa.
Mögliche Vorbereitung auf neue Exploits
Auch wenn GreyNoise bislang keine Beweise für aktive Ausnutzungsversuche gegen Palo Alto Networks vorliegen hat, deutet die koordinierte Scan-Welle auf ein mögliches Vorstadium größerer Angriffskampagnen hin. Solche Aktivitäten dienen häufig der Aufklärung: Angreifer erfassen öffentlich erreichbare Systeme, analysieren Softwareversionen und suchen gezielt nach potenziellen Einfallstoren.
Dass die Palo-Alto-Scans denselben technischen Mustern folgen wie die kürzlichen Angriffe auf Cisco-Geräte, ist dabei ein ernst zu nehmendes Warnsignal. Möglich ist, dass Bedrohungsakteure versuchen, neue oder bislang unveröffentlichte Schwachstellen in den Authentifizierungsportalen von Firewalls oder Managementsystemen zu identifizieren.
Fazit: Vorsicht statt Entwarnung
Auch wenn Palo Alto Networks derzeit keine Kompromittierung festgestellt hat, sollten Unternehmen die Warnungen ernst nehmen. Scan-Aktivitäten in diesem Ausmaß sind selten zufällig und können auf vorbereitende Phasen großflächiger Angriffe hinweisen.
Organisationen, die Produkte von Palo Alto Networks einsetzen, sollten sicherstellen, dass ihre Systeme auf dem neuesten Softwarestand sind, unnötig exponierte Login-Portale überprüfen und Netzwerkzugriffe protokollbasiert überwachen.
GreyNoise fasst die aktuelle Lage treffend zusammen: „Massive Scan-Aktivitäten sind oft das erste Signal einer neuen Angriffswelle.“ Wer solche Frühwarnzeichen erkennt und schnell reagiert, kann verhindern, dass aus reiner Aufklärung der nächste große Sicherheitsvorfall wird.