Grandes varreduras de rede têm como alvo dispositivos Cisco ASA, gerando alertas de pesquisadores de cibersegurança de que isso pode indicar uma falha iminente nos produtos.
A GreyNoise registrou dois picos significativos de scanning no final de agosto, com até 25.000 endereços IP únicos sondando portais de login do ASA, além de Telnet/SSH do Cisco IOS.
A segunda onda, registrada em 26 de agosto de 2025, foi em grande parte (80%) impulsionada por um botnet brasileiro, utilizando cerca de 17.000 IPs.
Em ambos os casos, os agentes usuários (user agents) utilizados eram sobrepostos e semelhantes ao Chrome, sugerindo uma origem comum.
A atividade de scanning teve como principal alvo os Estados Unidos, embora Reino Unido e Alemanha também tenham sido impactados.
A GreyNoise já explicou anteriormente que esse tipo de atividade de reconhecimento precede a divulgação de novas vulnerabilidades nos produtos escaneados em 80% dos casos.
Estatisticamente, essa correlação é mais fraca para dispositivos Cisco em comparação com outros fornecedores, mas informações sobre esses picos ainda podem ser úteis para defensores aprimorarem seu monitoramento e medidas proativas.
Esses scans geralmente representam tentativas falhadas de exploração de bugs já corrigidos, mas também podem configurar esforços de enumeração e mapeamento para preparar a exploração de novas falhas.
Um relatório separado, publicado anteriormente pelo administrador de sistemas 'NadSec – Rat5ak', aponta atividade semelhante que começou em 31 de julho com scans oportunistas de baixo volume, que escalaram em meados de agosto e culminaram em 28 de agosto.
Rat5ak observou 200.000 acessos a endpoints Cisco ASA em 20 horas, com tráfego uniforme de 10k/IP, indicando alta automação.
O administrador informa que a atividade veio de três ASNs: Nybula, Cheapy-Host e Global Connectivity Solutions LLP.
Administradores de sistemas são aconselhados a aplicar as últimas atualizações de segurança no Cisco ASA para corrigir vulnerabilidades conhecidas, implementar autenticação multifator (MFA) para todos os logins remotos no ASA e evitar expor diretamente /+CSCOE+/logon.html, WebVPN, Telnet ou SSH.
Se houver necessidade de acesso externo, recomenda-se usar um VPN concentrator, reverse proxy ou access gateway para impor controles adicionais de acesso.
Por fim, utilize os indicadores de atividade de scanning compartilhados nos relatórios da GreyNoise e do Rat5ak para bloquear preventivamente essas tentativas, ou ainda, aplicar geo-blocking e rate limiting para regiões geograficamente distantes da sua organização.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...