هشدار امنیتی: موج جدید اسکن شبکه دستگاه‌های Cisco ASA

اسکن‌های گسترده شبکه، دستگاه‌های Cisco ASA را هدف قرار داده‌اند و پژوهشگران امنیت سایبری هشدار داده‌اند که این موضوع می‌تواند نشانگر وجود یک آسیب‌پذیری احتمالی در محصولات مذکور باشد.

بر اساس داده‌های GreyNoise، در اواخر ماه آگوست دو اوج قابل توجه در فعالیت اسکن مشاهده شده است؛ به‌طوری که تا ۲۵,۰۰۰ آدرس IP منحصربه‌فرد اقدام به بررسی پورتال‌های ورود ASA و همچنین Cisco IOS Telnet/SSH کرده‌اند.

موج دوم این فعالیت‌ها که در تاریخ ۲۶ آگوست ۲۰۲۵ ثبت شده، عمدتاً (حدود ۸۰ درصد) توسط یک botnet مستقر در برزیل هدایت شده است که از حدود ۱۷,۰۰۰ آدرس IP استفاده کرده است.

در هر دو مورد، مهاجمان از user agent‌های مشابه با مرورگر Chrome بهره برده‌اند که نشان‌دهنده منشأ مشترک این فعالیت‌ها است.

فعالیت‌های اسکن عمدتاً ایالات متحده را هدف قرار داده‌اند و در کنار آن، بریتانیا و آلمان نیز مورد هدف قرار گرفته‌اند.

GreyNoise پیش‌تر توضیح داده بود که در ۸۰ درصد موارد، چنین فعالیت‌های شناسایی (reconnaissance activity) پیش از افشای آسیب‌پذیری‌های جدید در محصولات اسکن‌شده رخ می‌دهد.

از نظر آماری، این همبستگی در مورد Cisco نسبت به سایر فروشندگان ضعیف‌تر بوده است، اما اطلاع از چنین جهش‌هایی همچنان می‌تواند به مدافعان در بهبود پایش و اتخاذ اقدامات پیشگیرانه کمک کند.

این اسکن‌ها معمولاً تلاش‌های ناموفق برای سوءاستفاده از باگ‌های پیش‌تر وصله‌شده هستند، اما می‌توانند به‌منظور enumeration و نقشه‌برداری در آماده‌سازی برای بهره‌برداری از آسیب‌پذیری‌های جدید نیز انجام شوند.

گزارش جداگانه‌ای که پیش‌تر توسط ادمین سیستم با نام NadSec – Rat5ak منتشر شد، فعالیت‌های مشابهی را نشان می‌دهد که از ۳۱ جولای با اسکن‌های فرصت‌طلبانه محدود آغاز شد، در اواسط آگوست شدت گرفت و در ۲۸ آگوست به اوج رسید.

به گفته Rat5ak، طی مدت ۲۰ ساعت حدود ۲۰۰,۰۰۰ hit بر روی endpointهای Cisco ASA ثبت شده است که با ترافیک یکنواخت ۱۰k/IP همراه بوده و کاملاً ماهیت خودکار داشته است.

به گزارش این ادمین، فعالیت‌های مشاهده‌شده از سه ASN شامل Nybula، Cheapy-Host و Global Connectivity Solutions LLP منشأ گرفته‌اند.

به مدیران سیستم توصیه می‌شود آخرین security update‌های مربوط به Cisco ASA را برای وصله آسیب‌پذیری‌های شناخته‌شده اعمال کنند، multi-factor authentication (MFA) را برای تمامی ورودهای راه‌دور ASA اجباری سازند و از قرار دادن مستقیم مسیر /+CSCOE+/logon.html، WebVPN، Telnet یا SSH در معرض اینترنت خودداری کنند.

در صورتی که دسترسی خارجی ضروری باشد، استفاده از VPN concentrator، reverse proxy یا access gateway برای اعمال کنترل‌های دسترسی تکمیلی توصیه می‌شود.

در نهایت، استفاده از شاخص‌های فعالیت اسکن منتشرشده در گزارش‌های GreyNoise و Rat5ak برای مسدودسازی پیش‌دستانه این تلاش‌ها یا بهره‌گیری از geo-blocking و rate limiting در مناطق دور از محدوده سازمان پیشنهاد شده است.

وب‌سایت BleepingComputer برای دریافت توضیح در خصوص این فعالیت‌ها با Cisco تماس گرفته و اعلام کرده است که پس از دریافت پاسخ، این خبر به‌روزرسانی خواهد شد.