0day в Cisco? Специалисты зафиксировали резкий всплеск атак на устройства ASA

leer en español

Cisco ASA GreyNoise ботнет уязвимость сканирование безопасность
0day в Cisco? Специалисты зафиксировали резкий всплеск атак на устройства ASA
Cisco ASA GreyNoise ботнет уязвимость сканирование безопасность

Таинственный ботнет готовит масштабную атаку.

image

В конце августа GreyNoise зафиксировала резкий рост активности сканеров, нацеленных на устройства Cisco ASA. Специалисты предупреждают, что подобные волны часто предшествуют выявлению новых уязвимостей в продуктах. В этот раз речь идёт о двух всплесках: в обоих случаях злоумышленники массово проверяли страницы авторизации ASA и Telnet/SSH-доступ в Cisco IOS.

26 августа была отмечена особенно крупная атака, инициированная ботнетом из Бразилии, который задействовал около 17 тысяч уникальных адресов и обеспечил до 80% трафика. В общей сложности наблюдалось до 25 тысяч IP-источников. Интересно, что во время обоих всплесков использовались схожие заголовки браузеров, маскирующиеся под Chrome, что указывает на общую инфраструктуру.

Основной удар пришёлся на США, но под наблюдением оказались также Великобритания и Германия. По данным GreyNoise, примерно в 80% случаев подобная разведка оборачивается последующим раскрытием новых проблем безопасности, хотя для Cisco статистическая связь заметно слабее, чем для других производителей. Тем не менее такие индикаторы позволяют администраторам заранее усилить защиту.

В ряде случаев речь может идти о безуспешных попытках эксплуатации уже закрытых ошибок, но столь масштабная кампания также может быть направлена на картографирование доступных сервисов для дальнейшего использования ещё не раскрытых уязвимостей. Независимый системный администратор под ником NadSec – Rat5ak , сообщил о схожей активности, которая стартовала в конце июля и набирала обороты до 28 августа. Он зафиксировал более 200 тысяч обращений к ASA в течение 20 часов с равномерной нагрузкой в 10 тысяч запросов с каждого адреса, что говорит о глубокой автоматизации. Источниками оказались три автономные системы — Nybula, Cheapy-Host и Global Connectivity Solutions LLP.

Администраторам советуют как можно скорее ставить актуальные обновления для Cisco ASA, чтобы закрыть известные дыры, включать многофакторную аутентификацию для всех удалённых входов и не публиковать напрямую страницы /+CSCOE+/logon.html, WebVPN, Telnet или SSH. В случае крайней необходимости рекомендуется выносить доступ наружу через VPN-концентратор, обратный прокси или шлюз с дополнительной проверкой. Также можно использовать индикаторы атак, опубликованные GreyNoise и Rat5ak, чтобы блокировать подозрительные запросы на периметре, а при необходимости — включать геоблокировку и лимитирование частоты обращений. Cisco пока никак не прокомментировала происходящее.