大規模なネットワークスキャンがCisco ASAデバイスを標的としており、サイバーセキュリティ研究者からは、これが製品に新たな脆弱性が発見される前兆である可能性があるとして警告が出されています。
GreyNoiseは、8月下旬に2回の大規模なスキャンの急増を記録しており、最大25,000のユニークなIPアドレスがASAのログインポータルやCisco IOSのTelnet/SSHにアクセスしていました。
2回目の波は2025年8月26日に記録され、その大部分(80%)は約17,000のIPアドレスを使用したブラジルのボットネットによるものでした。
いずれの場合も、攻撃者はChromeに似たユーザーエージェントを重複して使用しており、共通の発信元であることが示唆されています。
スキャン活動は主にアメリカ合衆国を標的としており、イギリスやドイツも標的となっていました。
GreyNoiseは、以前に説明したように、このような偵察活動は、スキャンされた製品に新たな脆弱性が公開される前に80%の確率で発生しています。
統計的には、この相関関係は他のベンダーと比べてCiscoでは弱いものの、このような急増に関する情報は、防御側が監視や積極的な対策を強化するうえで依然として有用です。
これらのスキャンは、すでに修正済みのバグの悪用に失敗した試みであることが多いですが、新たな脆弱性を悪用するための列挙やマッピングの準備である場合もあります。
システム管理者「NadSec – Rat5ak」によって以前に公開された別のレポートでは、7月31日から始まった低頻度の機会的なスキャンが8月中旬にエスカレートし、8月28日にピークに達した重複する活動が報告されています。
Rat5akは、20時間以内にCisco ASAエンドポイントへの20万件のアクセスを観測しており、1IPあたり一様に1万件のトラフィックがあり、高度に自動化されているように見えました。
管理者は、この活動がNybula、Cheapy-Host、Global Connectivity Solutions LLPという3つのASNから発信されていたと報告しています。
システム管理者は、既知の脆弱性を修正するためにCisco ASAに最新のセキュリティアップデートを適用し、すべてのリモートASAログインに多要素認証(MFA)を強制し、/+CSCOE+/logon.html、WebVPN、Telnet、SSHを直接公開しないよう推奨されています。
外部アクセスが必要な場合は、VPNコンセントレーター、リバースプロキシ、またはアクセスゲートウェイを利用して追加のアクセス制御を実施してください。
最後に、GreyNoiseおよびRat5akのレポートで共有されているスキャン活動の指標を活用して、これらの試みを事前にブロックするか、組織から遠い地域に対してはジオブロッキングやレート制限を利用してください。
BleepingComputerは、観測された活動についてCiscoにコメントを求めており、回答があり次第本記事を更新します。
