近年来，SSL VPN系统已成为黑客入侵企业组织的主要途径，因此，若出现针对此类系统的大规模扫描行为，可能意味着攻击者正在寻找潜在目标，企业应特别警惕并加强防范。

安全公司GreyNoise近日发出警告，Palo Alto Networks旗下的SSL VPN平台GlobalProtect疑似遭到大规模扫描。自11月14日起，扫描活动急剧增加，单日流量激增40倍，创下近三个月新高。在14日至19日期间，该公司监测到230万次针对GlobalProtect登录页面的URI连接请求。其中62%的攻击流量源自德国，另有15%来自加拿大，攻击范围覆盖美国、墨西哥和巴基斯坦。

值得注意的是，GreyNoise根据攻击者的特征（指纹）、基础设施及时间关联性等证据指出，此次大规模扫描活动可能与此前发起类似攻击的黑客组织有关联。

针对这一情况，我们通过公关公司向Palo Alto Networks求证，该公司回应称，保障客户安全始终是其首要任务。此次通报的扫描行为并未构成对其系统环境的实际威胁或入侵。由此可见，Palo Alto Networks并未否认大规模扫描的存在，企业IT人员仍需提高警觉，严防攻击者试探性寻找漏洞。

回顾今年，已发生两轮针对GlobalProtect的大规模扫描活动。最近一次发生在10月上旬，攻击者瞄准了PAN-OS中已知的漏洞CVE-2024-3400（CVSS风险评分为10分），两天内攻击活动增长近5倍；另一起发生在半年前，当时GreyNoise在一个星期内监测到近2.4万个不同IP地址尝试访问GlobalProtect服务。