2025 年 8 月下旬,针对思科自适应安全设备(Cisco ASA)的恶意扫描活动出现前所未有的激增,超 2.5 万个唯一 IP 地址参与了协同侦察行动。
威胁情报公司 GreyNoise 观察到两轮明显的扫描浪潮,与日常不到 500 个 IP 的基准活动相比,规模大幅升级。8 月 22 日的扫描峰值涉及约 2.5 万个唯一 IP 地址,几天后又出现了一场规模较小但相关的扫描活动。
分析显示,8 月 26 日的扫描浪潮主要由一个集中在巴西的僵尸网络集群推动。当天活跃的约 1.7 万个 IP 中,超 1.4 万个(占比 80% 以上)均与该协同僵尸网络活动相关。
攻击者使用了共享的客户端签名和伪造的类 Chrome 用户代理(user-agent),这表明其基础设施中部署了通用扫描工具包。
研究人员指出:“该客户端签名与一组密切相关的 TCP 签名同时出现,这表明所有节点共享一套通用的协议栈和工具。” 这一发现证实了该攻击活动的协同性质。
过去 90 天内,扫描活动呈现出明显的地理分布特征。巴西是扫描源 IP 最多的国家,占比 64%;阿根廷和美国紧随其后,各占 8%。
但从攻击目标来看,活动主要聚焦于美国基础设施 ——GreyNoise 观察到,97% 的攻击针对美国网络,英国和德国分别占 5% 和 3%。
两轮扫描浪潮均专门针对 ASA 设备的网页登录路径/+CSCOE+/logon.html,这是识别暴露设备的常用侦察标识。部分相同 IP 地址还探测了思科 Telnet/SSH 服务及 ASA 软件角色,这表明该活动是专门针对思科设备的定向行动,而非随机的 opportunistic(机会主义式)扫描。
此类扫描活动的时间和规模可能预示着新漏洞即将被披露。GreyNoise 的 “早期预警信号” 研究表明,扫描活动激增后,往往会出现新的通用漏洞披露(CVE)公告。历史数据显示,此前思科 ASA 漏洞披露前,也曾出现过类似的活动激增现象。
长期以来,思科 ASA 设备一直是高级威胁行为者的主要攻击目标。此前,“ArcaneDoor” 间谍活动就曾利用思科 ASA 系统的两个零日漏洞渗透政府网络。
包括 “Akira” 和 “LockBit” 在内的勒索软件团伙,历史上也多次针对这类设备发起攻击;而 CVE-2020-3452 漏洞在披露后几天内,就被攻击者在全球范围内武器化利用。
运行思科 ASA 基础设施的企业应立即检查设备暴露情况,确保系统已安装所有最新补丁,并监控异常的身份验证尝试。
鉴于此次扫描活动的规模和协同性,安全团队应做好应对潜在零日漏洞利用的准备,并考虑对 ASA 设备加强额外监控。
此次侦察活动规模空前,这表明威胁行为者可能正为大规模漏洞利用行动做准备。对于依赖思科 ASA 安全设备的企业而言,立即采取防御措施至关重要。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
2025 年 8 月下旬,针对思科自适应安全设备(Cisco ASA)的恶意扫描活动出现前所未有的激增,超 2.5 万个唯一 IP 地址参与了协同侦察行动。
