{"id":11155,"date":"2025-12-08T11:37:34","date_gmt":"2025-12-08T17:37:34","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11155"},"modified":"2025-12-08T11:37:35","modified_gmt":"2025-12-08T17:37:35","slug":"alerta-2025-100-ataques-masivos-contra-portales-vpn-globalprotect","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-100-ataques-masivos-contra-portales-vpn-globalprotect\/","title":{"rendered":"Alerta 2025-100 Ataques Masivos contra Portales VPN GlobalProtect"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>GlobalProtect VPN, componentes Portales VPN \/ PAN-OS<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Desde el 14 de noviembre de 2025 se ha identificado una campa\u00f1a global de ataques dirigida a los portales VPN GlobalProtect de Palo Alto Networks. Firmas de inteligencia como GreyNoise han registrado m\u00e1s de <strong>2.3 millones de sesiones maliciosas<\/strong>, un incremento de <strong>hasta 40 veces en 24 horas<\/strong>, lo que representa el nivel de actividad m\u00e1s alto en meses. Los atacantes provienen de m\u00e1s de <strong>7,000 direcciones IP \u00fanicas<\/strong> distribuidas entre infraestructura comprometida, proxies residenciales y proveedores de alojamiento a prueba de balas.<\/p>\n\n\n\n<p>Los ataques se enfocan en la ruta <strong>\/global-protect\/login.esp<\/strong>, donde intentan <strong>fuerza bruta y explotaci\u00f3n de configuraciones d\u00e9biles<\/strong> en portales expuestos a Internet, especialmente aquellos que permiten acceso previo a la autenticaci\u00f3n o mantienen configuraciones por defecto. Se han observado patrones consistentes como huellas JA4t y tr\u00e1fico an\u00f3malo hacia el puerto UDP 4501, junto con intentos de exfiltraci\u00f3n de tokens de sesi\u00f3n que permitir\u00edan movimiento lateral dentro de las redes internas.<\/p>\n\n\n\n<p>La infraestructura ofensiva est\u00e1 altamente concentrada, con el <strong>62% del tr\u00e1fico proveniente del ASN AS200373 (3xK Tech GmbH)<\/strong>, complementada por otros ASN vinculados a campa\u00f1as previas. Este comportamiento refleja operaciones coordinadas, posiblemente vinculadas a actores avanzados con capacidad de automatizaci\u00f3n y evasi\u00f3n.<\/p>\n\n\n\n<p>Palo Alto Networks emiti\u00f3 un aviso urgente el 5 de diciembre instando a las organizaciones a aplicar <strong>autenticaci\u00f3n multifactor (MFA)<\/strong>, restringir la exposici\u00f3n p\u00fablica de portales y aplicar las \u00faltimas actualizaciones de PAN-OS. La CISA ha incluido los indicadores en su cat\u00e1logo de vulnerabilidades activamente explotadas, exigiendo correcciones aceleradas<\/p>\n\n\n\n<p><strong>URI objetivo atacada<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\/global-protect\/login.esp<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>Para reducir el riesgo de explotaci\u00f3n, se recomienda habilitar<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La autenticaci\u00f3n multifactor (MFA) en todos los portales GlobalProtect<\/li>\n\n\n\n<li>Restringir su acceso \u00fanicamente a redes o direcciones IP autorizadas mediante firewalls, listas blancas o conexiones VPN internas<\/li>\n\n\n\n<li>Aplicar de forma prioritaria los parches y actualizaciones m\u00e1s recientes de PAN-OS conforme a las directrices oficiales de Palo Alto Networks.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/cybersecuritynews.com\/palo-alto-globalprotect-attacks\/\">https:\/\/cybersecuritynews.com\/palo-alto-globalprotect-attacks\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/blog.elhacker.net\/2025\/12\/ataque-masivo-portales-vpn-palo-alto.html\">https:\/\/blog.elhacker.net\/2025\/12\/ataque-masivo-portales-vpn-palo-alto.html<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.greynoise.io\/blog\/palo-alto-scanning-surges-90-day-high\">https:\/\/www.greynoise.io\/blog\/palo-alto-scanning-surges-90-day-high<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":11156,"template":"","class_list":["post-11155","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11155","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11155\/revisions"}],"predecessor-version":[{"id":11158,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11155\/revisions\/11158"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/11156"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11155"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}