En kraftig Cisco ASA-skanningsøkning har vekket uro hos sikkerhetsforskere. I slutten av august 2025 oppdaget GreyNoise uvanlig aktivitet rettet mot Cisco Adaptive Security Appliance (ASA)-enheter. På det høyeste kom skanningene fra 25 000 unike IP-adresser som sonderte innloggingsportaler og fjernaksess-tjenester. Omfanget tyder på at angripere kan forberede seg på å utnytte en ennå ikke offentliggjort sårbarhet.
Angrepsdetaljer
GreyNoise observerte den første bølgen av skanninger 26. august. Flertallet var rettet mot ASA sine webinnloggingsportaler samt Telnet- og SSH-endepunkter. En andre bølge fulgte snart etter, med de samme skanningsfingeravtrykkene.
Åtti prosent av trafikken i den første bølgen stammet fra Brasil. Omtrent 14 000 IP-adresser viste identiske TLS-fingeravtrykk og forfalskede Chrome-lignende brukeragenter. Denne konsistensen peker på en koordinert botnet-kampanje snarere enn tilfeldig bakgrunnsstøy.
Geografisk spredning
Økningen i Cisco ASA-skanninger rammet nettverk i hele USA, med merkbar aktivitet også i Storbritannia og Tyskland. GreyNoise-analytikere påpekte at slik rekognosering ofte kommer før avsløring eller våpenisering av nye sårbarheter.
Hvorfor det er viktig
Cisco ASA-enheter er høyt prioriterte mål. Tidligere kampanjer som ArcaneDoor, samt ransomware-grupper som LockBit og Akira, utnyttet raskt ASA-sårbarheter så snart de ble offentliggjort. Den nåværende skanningsøkningen kan tyde på at angripere allerede kjenner til en kommende sårbarhet og kartlegger eksponerte enheter i forkant.
Forsvarstiltak
Organisasjoner bør handle umiddelbart for å redusere eksponeringen:
- Begrens eller blokker ASA web-, SSH- og Telnet-tilgang fra internett.
- Krev VPN eller private nettverk for administrasjon.
- Installer sikkerhetsoppdateringer så snart de er tilgjengelige.
- Bruk geofencing eller rate limiting, spesielt mot trafikk fra Brasil.
- Aktiver multifaktorautentisering for fjernpålogging.
- Overvåk GreyNoise-varsler for tagger knyttet til ASA-skanningsaktivitet.
Konklusjon
Den kraftige økningen i Cisco ASA-skanninger i slutten av august er en advarsel. Med 25 000 IP-adresser som sonderer enheter over hele verden, er risikoen for utnyttelse høy. Sikkerhetsteam bør handle nå ved å låse ned administrasjonsgrensesnitt, raskt installere oppdateringer og nøye overvåke skanningstrender for å ligge foran potensielle angrep.
0 responses to “Bølge av Cisco ASA-skanninger skaper sikkerhetsfrykt”