Güvenlik araştırmacıları, Cisco Uyarlanabilir Güvenlik Cihazı (ASA) cihazlarını hedefleyen büyük tarama kampanyaları tespit ettiler ve saldırganlar, yaklaşan bir güvenlik açığı açıklamasına işaret edebilecek koordineli dalgalarda 25.000’den fazla benzersiz IP adresini araştırdı.
Grinnoise siber güvenlik araştırmacıları, Ağustos ayı sonlarında Cisco ASA cihazlarına karşı iki önemli tarama dalgası gözlemledi.
İlk dalga, tek bir koordineli patlamada savunmasız cihazları tarayan 25.000’den fazla benzersiz IP adresi içeriyordu. Günler sonra ikinci, daha küçük ama ilgili bir kampanya izledi.
Bu saldırılar, tipik olarak günde 500 IP adresinden daha azını kaydeden normal başlangıç aktivitesinden dramatik bir artışı temsil eder.
Her iki kampanya da, saldırganlar tarafından maruz kalan cihazları tanımlamak için kullanılan ortak bir keşif işareti olan /+cscoe+/logon.html adresindeki ASA web giriş yolunu hedefledi.
Koordineli botnet kampanyası
Analiz, 26 Ağustos dalgasının öncelikle Brezilya’da yoğunlaşmış tek bir botnet kümesi tarafından yönlendirildiğini ortaya koymaktadır.
Araştırmacılar belirli bir müşteri parmak izini izole etti ve o gün 17.000 aktif IP adresinden yaklaşık 14.000’inin – yüzde 80’den fazla – bu koordineli Botnet operasyonuna bağlı olduğunu belirledi.
Saldırganlar, her iki etkinlikte de dağıtılan ortak bir tarama araç setini gösteren ortak müşteri imzaları ve sahte krom benzeri kullanıcı ajanları kullandılar.
Aynı IP adreslerinin alt kümeleri, Cisco Telnet/SSH hizmetlerini de araştırdı ve özellikle fırsatçı tarama yerine Cisco altyapısını hedefleyen odaklanmış bir kampanyayı işaret etti.
Küresel Saldırı Deseni
Son 90 gün boyunca, tarama etkinliği farklı coğrafi kalıplar göstermiştir. Brezilya, kötü amaçlı trafiğin yüzde 64’ünü oluşturan baskın kaynak ülke olarak ortaya çıktı, bunu her biri yüzde 8’de Arjantin ve ABD izledi.
Hedef ülkeler farklı bir hikaye anlatıyor, Amerika Birleşik Devletleri’nin saldırı bruntunu yüzde 97 ile taşırken, Birleşik Krallık ve Almanya sırasıyla yüzde 5 ve yüzde 3 ile karşılaştı.
Bu konsantrasyon, saldırganların özellikle Amerikan ağlarındaki savunmasız Cisco ASA cihazlarını avladıklarını gösteriyor.
Büyük tarama kampanyaları, yaklaşan güvenlik açığı açıklamaları için erken bir uyarı sinyali olarak işlev görebilir.
Grinnoise araştırması, tarama sivri uçların genellikle yeni CVE’lerin duyurulmasından önce geldiğini göstermektedir. Cisco ASA cihazlarına karşı önceki etkinlik, yeni güvenlik açığı açıklamalarından kısa bir süre önce arttı ve bu Ağustos olaylarını potansiyel olarak önemli göstergeler haline getirdi.
Cisco Asa cihazları, sofistike tehdit aktörleri için ana hedeflerdir. Arcanedoor Casusluk kampanyası, hükümet ağlarına sızmak için iki sıfır günlük güvenlik açığı kullandı.
Akira ve Lockbit dahil fidye yazılımı grupları tarihsel olarak bu sistemleri ilk ağ erişimi için hedeflemiştir.
Güvenlik ekipleri, ASA web portalları, telnet veya SSH hizmetlerinin doğrudan internet yerleştirilmesinden kaçınarak pozlamayı sınırlamalıdır.
Kuruluşlar, uzaktan erişim için çok faktörlü kimlik doğrulama uygulamalı ve yeni güvenlik açıkları ortaya çıkarsa hızlı yama için hazırlanmalıdır.
Tamamen yamalı kuruluşlar bile, gelecekteki istismar kampanyaları için kullanılan hedef listelerde görünme olasılığını azaltmak için belirlenen kötü amaçlı IP adreslerini engellemeyi düşünmelidir.
Tarama etkinliğinin sürekli izlenmesi, kritik ağ altyapısına karşı ortaya çıkan tehditlerin erken uyarısını sağlayabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.