Cisco uyarlanabilir güvenlik cihazlarını (ASA’ları) hedefleyen kötü amaçlı tarama faaliyetlerinde eşi görülmemiş bir artış, Ağustos 2025’in sonlarında, koordineli keşif çabalarına katılan 25.000’den fazla benzersiz IP adresi ile gerçekleşti.
Bir tehdit istihbarat şirketi olan Geynoise, günde 500 IP’den daha az tipik temel aktiviteden dramatik bir yükselmeyi temsil eden iki farklı tarama dalgası gözlemledi. 22 Ağustos Spike yaklaşık 25.000 benzersiz adres ve bunu günler sonra daha küçük ama ilgili bir kampanya içeriyordu.
Analiz, 26 Ağustos dalgasının öncelikle Brezilya’da yoğunlaşmış tek bir botnet kümesi tarafından yönlendirildiğini ortaya koymaktadır. O gün yaklaşık 17.000 aktif IP’ten,% 80’inden fazlasını temsil eden 14.000’den fazla bu koordineli Botnet kampanyasına bağlandı.
Saldırganlar, ortak tarama araç setlerinin altyapı boyunca konuşlandırıldığını gösteren ortak müşteri imzaları ve sahte krom benzeri kullanıcı ajanları kullandılar.
Araştırmacılar, “Müşteri imzası, yakın ilişkili TCP imzalarının bir paketi ile birlikte görüldü, tüm düğümlerin ortak bir yığın ve takım paylaşımını gösterdiğini gösteriyor” dedi.
Coğrafi dağılım ve hedefleme kalıpları
Son 90 gün boyunca, tarama etkinliği farklı coğrafi kalıplar göstermiştir. Brezilya, kaynak ülkelerine% 64, onu% 8 ile Arjantin ve Amerika Birleşik Devletleri’ne hükmetiyor.
Bununla birlikte, hedefleme büyük ölçüde ABD altyapısına odaklanmıştır, saldırıların% 97’si Amerikan ağlarına yöneliktir, İngiltere ve Almanya sırasıyla% 5 ve% 3’ü oluşturur.
Her iki tarama dalgası da ASA web giriş yolunu özellikle hedefledi /+CSCOE+/logon.htmlmaruz kalan cihazları tanımlamak için kullanılan yaygın bir keşif işareti. Aynı IP adreslerinin alt kümeleri, fırsatçı taramadan ziyade kasıtlı bir Cisco odaklı kampanyayı gösteren Cisco Telnet/SSH ve ASA yazılım kişilerini de araştırdı.
Bu tarama kampanyalarının zamanlaması ve ölçeği yaklaşmakta olan bir güvenlik açığı açıklamasına işaret edebilir. Geynoise’nin erken uyarı sinyalleri araştırması, tarama ani artışların genellikle yeni ortak güvenlik açıkları ve maruziyetlerinin (CVES) duyurulmasından önce geldiğini göstermiştir. Tarihsel veriler, önceki Cisco ASA güvenlik açığı açıklamalarından kısa bir süre önce benzer aktivite artışlarının meydana geldiğini göstermektedir.
Cisco Asa cihazları, sofistike tehdit aktörleri için ana hedeflerdir. Arcanedoor casusluk kampanyası, daha önce Cisco ASA sistemlerindeki hükümet ağlarına sızmak için iki sıfır günlük güvenlik açıkından yararlandı.
Akira ve Lockbit de dahil olmak üzere fidye yazılımı grupları da tarihsel olarak bu cihazları hedeflerken, CVE-2020-3452, açıkladıktan sonraki günler içinde küresel olarak silahlandırıldı.
Cisco ASA altyapısını çalıştıran kuruluşlar, maruz kalmalarını derhal gözden geçirmeli, sistemlerin tamamen yamalı olmasını ve olağandışı kimlik doğrulama girişimlerini izlemelidir.
Bu tarama faaliyetinin ölçeği ve koordinasyonu göz önüne alındığında, güvenlik ekipleri potansiyel sıfır gün sömürü girişimlerine hazırlanmalı ve ASA cihazları etrafında ek izleme uygulamayı düşünmelidir.
Bu keşif kampanyasının benzeri görülmemiş ölçeği, tehdit aktörlerinin önemli bir güvenlik açığı sömürü dalgası için konumlandırabileceğini ve Cisco ASA güvenlik cihazlarına dayanan kuruluşlar için derhal savunma hazırlıklarını kritik hale getirebileceğini gösteriyor.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.