En kraftig Cisco ASA-skanningsökning har väckt oro bland säkerhetsforskare. I slutet av augusti 2025 upptäckte GreyNoise ovanlig aktivitet riktad mot Cisco Adaptive Security Appliance (ASA)-enheter. Som mest genomfördes skanningar från 25 000 unika IP-adresser som sonderade inloggningsportaler och fjärråtkomsttjänster. Denna omfattning tyder på att angripare kan förbereda sig för att utnyttja en ännu ej offentliggjord sårbarhet.
Attackdetaljer
GreyNoise observerade den första vågen av skanningar den 26 augusti. Majoriteten riktades mot ASA:s webbportaler för inloggning samt Telnet- och SSH-ändpunkter. En andra våg följde snart, med samma skanningsmönster.
Åttio procent av trafiken i den första vågen kom från Brasilien. Cirka 14 000 IP-adresser visade identiska TLS-fingeravtryck och förfalskade Chrome-liknande användaragenter. Denna konsekvens pekar på en koordinerad botnetkampanj snarare än slumpmässig bakgrundsaktivitet.
Geografisk spridning
Ökningen av Cisco ASA-skanningar drabbade nätverk i hela USA, med märkbar aktivitet även i Storbritannien och Tyskland. GreyNoise-analytiker noterade att sådan kartläggning ofta föregår offentliggörande eller vapenisering av nya sårbarheter.
Varför det är viktigt
Cisco ASA-enheter är högvärdiga mål. Tidigare kampanjer som ArcaneDoor, samt ransomwaregrupper som LockBit och Akira, utnyttjade snabbt ASA-sårbarheter så fort de blev kända. Den nuvarande skanningsökningen kan indikera att angripare redan känner till en kommande sårbarhet och kartlägger exponerade enheter i förväg.
Försvarsåtgärder
Organisationer bör agera omedelbart för att minska exponeringen:
- Begränsa eller blockera ASA:s webb-, SSH- och Telnet-åtkomst från internet.
- Kräv VPN eller privata nätverk för administration.
- Installera patchar så snart de släpps.
- Använd geofencing eller rate limiting, särskilt mot trafik från Brasilien.
- Aktivera multifaktorautentisering för fjärrinloggning.
- Övervaka GreyNoise-varningar för taggar kopplade till ASA-skanningsaktivitet.
Slutsats
Den kraftiga ökningen av Cisco ASA-skanningar i slutet av augusti är en varningssignal. Med 25 000 IP-adresser som sonderar enheter världen över är risken för exploatering hög. Säkerhetsteam bör agera nu genom att låsa ner administrationsgränssnitt, snabbt tillämpa uppdateringar och noggrant övervaka skanningstrender för att ligga steget före potentiella attacker.
0 svar till ”Ökning av Cisco ASA-skanningar väcker säkerhetsoro”