Zum Inhalt springen
Technik. Tests. Trends.
VG Wort Pixel

Unternehmenssicherheit

Automatisierte Login-Angriffe auf Cisco- und Palo-Alto-VPNs

Ein automatisierter Angriff auf VPN-Portale von Cisco und Palo Alto Networks soll laut Sicherheitsanalysten im Dezember großflächig Login-Versuche mit bekannten Zugangsdaten durchgeführt haben.

6 Security-Suiten 2025 im Test
© HAKINMHAN / shutterstock.com

Laut GreyNoise soll es Mitte Dezember eine koordinierte, automatisierte Kampagne gegeben haben, die sich gegen die Authentifizierungsinfrastruktur von Unternehmens-VPNs richtete. Betroffen waren dabei insbesondere Cisco SSL VPNs und Palo Alto Networks GlobalProtect-Dienste. Die Aktivität wurde übe...

Laut GreyNoise soll es Mitte Dezember eine koordinierte, automatisierte Kampagne gegeben haben, die sich gegen die Authentifizierungsinfrastruktur von Unternehmens-VPNs richtete. Betroffen waren dabei insbesondere Cisco SSL VPNs und Palo Alto Networks GlobalProtect-Dienste. Die Aktivität wurde über zwei Tage hinweg beobachtet und soll keine Schwachstellen ausgenutzt, sondern auf groß angelegte Login-Versuche mit bekannten Zugangsdaten gesetzt haben.

Palo Alto GlobalProtect besonders stark betroffen

Am 11. Dezember seien laut GreyNoise rund 1,7 Millionen automatisierte Login-Versuche auf GlobalProtect-Portale registriert worden. Diese Angriffe seien über mehr als 10.000 verschiedene IP-Adressen erfolgt, die vor allem VPN-Zugänge in den USA, Pakistan und Mexiko ins Visier genommen hätten. Der Großteil des Datenverkehrs stammte aus dem IP-Adressraum des deutschen Hosting-Anbieters 3xK GmbH. Dies deute auf zentralisierte, cloudbasierte Infrastruktur hin, nicht auf verteiltes Nutzerverhalten.

Einheitliche Muster deuten auf automatisierte Skripte

Die Anfragen sollen einheitlich aufgebaut gewesen sein, wobei häufig wiederkehrende Nutzername-Passwort-Kombinationen verwendet worden seien. Ungewöhnlich sei laut GreyNoise die Verwendung eines Browser-ähnlichen Firefox-Nutzerprofils, das sonst nicht typisch für automatisierte Angriffe aus diesem Umfeld sei. Die gleichmäßige Struktur und zeitliche Koordination sprächen für automatisierte Skripte zur Prüfung von Zugangsmöglichkeiten; nicht für gezielte Angriffe oder das Ausnutzen von Schwachstellen.

Zunahme auch bei Cisco SSL VPNs

Am Folgetag, dem 12. Dezember, seien ähnliche Muster bei Cisco SSL VPN-Endpunkten beobachtet worden. Hier sei die Zahl der täglich angreifenden IP-Adressen von unter 200 auf 1.273 gestiegen. Die Angriffe richteten sich insbesondere gegen sogenannte Facade-Sensoren, was auf opportunistisches Verhalten hinweise. Auch hier stamme der Datenverkehr überwiegend von der 3xK GmbH, was auf einen Zusammenhang mit den Angriffen auf die GlobalProtect-Dienste schließen lasse.

Die Angreifer hätten auch bei Cisco VPNs automatisierte Login-Versuche durchgeführt, unterstützt durch typische Authentifizierungsabläufe inklusive CSRF-Token-Handling und strukturierter Eingabeparameter.

Handlungsempfehlungen für Unternehmen

GreyNoise empfiehlt Unternehmen, VPN-Systeme regelmäßig zu überprüfen und mit starken Passwörtern sowie Zwei-Faktor-Authentifizierung (MFA) abzusichern. Zudem sollten verdächtige Login-Versuche aktiv überwacht und gegebenenfalls eskaliert werden.

Autor: Leif Bärler • 19.12.2025

Frag’ die KI
Weitere Artikel aus diesem Bereich:
Die neue Nvidia GeForce RTX50 Serie basiert auf der Nvidia Blackwell Architektur.
Software soll Herkunft von KI-Chips nachvollziehbar machen Nvidia entwickelt Standortprüfung zur Vermeidung von Chip-Schmuggel
Google Chrome können Sie weiter mit uBlock Origin nutzen, wenn gewünscht.
Google veröffentlicht Sicherheitsupdate für Chrome Chrome-Update schließt aktiv ausgenutzte Sicherheitslücke
Google zeigt, wie wir künftig das Internet nutzen könnten.
Mit KI-Modell Gemini 3 Google testet GenTabs: Intelligente Web-Apps aus offenen Tabs
Die neue Outlook-App ruft praktisch nur outlook.com auf, macht dabei aber Probleme.
Unter Windows 11 Outlook startet nicht: Lösung für aktuelle Probleme der neuen Web-App
Weiter zur Startseite