导语:据显示,8月末出现两次显著的扫描高峰,多达2.5万个独立IP地址对ASA登录入口及思科IOS的Telnet/SSH服务进行探测。
近期出现大规模针对思科ASA设备的网络扫描活动,网络安全研究人员就此发出警示,称此类活动可能预示这些产品即将曝出新漏洞。
网络安全公司GreyNoise记录显示,8月末出现两次显著的扫描高峰,多达2.5万个独立IP地址对ASA登录入口及思科IOS的Telnet/SSH服务进行探测。
2025年8月26日的第二波扫描中,80%的流量来自一个巴西僵尸网络,涉及约1.7万个IP地址。两次扫描活动中,威胁者使用的用户代理均与Chrome浏览器相似且存在重叠,表明其可能源自同一源头。
扫描活动主要针对美国,英国和德国也未能幸免。
GreyNoise此前曾指出,在80%的案例中,此类侦察活动都发生在被扫描产品的新漏洞披露之前。从数据上看,思科产品的这种相关性较其他厂商更弱,但扫描高峰的相关信息仍能帮助防御者加强监控并采取主动防御措施。
这些扫描活动通常是对已修复漏洞的失败利用尝试,但也可能是攻击者为利用新漏洞而进行的资产枚举与网络测绘。
报告证实扫描活动升级
系统管理员“NadSec – Rat5ak”此前发布的另一份报告显示,类似扫描活动始于7月31日,初期为低强度的 opportunistic 扫描,8月中旬逐渐升级,并于8月28日达到顶峰。
Rat5ak观察到,20小时内思科ASA端点遭遇了20万次访问,且每个IP的流量均稳定在1万次左右,呈现出高度自动化的特征。
该管理员称,这些活动来自三个自治系统编号(ASN),分别是Nybula、Cheapy-Host和Global Connectivity Solutions LLP。
安全建议
研究人员建议系统管理员采取以下措施:
1. 为思科ASA设备安装最新安全更新,修复已知漏洞;
2. 对所有ASA远程登录强制启用多因素认证(MFA);
3. 避免将/+CSCOE+/logon.html页面、WebVPN、Telnet或SSH服务直接暴露在公网;
4. 若确需外部访问,应使用VPN集中器、反向代理或访问网关加强访问控制;
5. 利用GreyNoise和Rat5ak报告中共享的扫描活动指标,主动拦截此类尝试,或对远离本组织业务区域的IP实施地理封锁与速率限制。
文章翻译自:https://www.bleepingcomputer.com/news/security/surge-in-networks-scans-targeting-cisco-asa-devices-raise-concerns/如若转载,请注明原文地址
