Неизвестная уязвимость в 0day Cisco: эксперты сообщили о росте числа атак на устройства серии ASA.

Неизвестный ботнет готовит масштабную атаку на Cisco ASA

В конце августа специалисты GreyNoise сообщили о резком увеличении числа сканирующих активностей, направленных против устройств Cisco ASA. Подобные кампании обычно предшествуют обнаружению новых уязвимостей в популярных продуктах. На этот раз наблюдались сразу два всплеска: в ходе атак злоумышленники массово проверяли страницы авторизации ASA, а также Telnet- и SSH-доступ в Cisco IOS.

Особенно заметной стала волна от 26 августа. Она исходила из ботнета, локализованного в Бразилии, который задействовал около 17 тысяч уникальных IP-адресов, формируя до 80% всего трафика. В общей сложности было зафиксировано примерно 25 тысяч источников. Характерной особенностью атак стали идентичные заголовки браузеров, замаскированные под Chrome, что указывает на использование единой инфраструктуры.

Наибольшая нагрузка пришлась на США, но цели также находились в Великобритании и Германии. По статистике GreyNoise, примерно в 80% случаев подобная разведка позже подтверждается выявлением новых уязвимостей. Однако в случае с Cisco такая корреляция выражена слабее, чем у других производителей. Тем не менее подобные индикаторы позволяют администраторам заранее принимать меры защиты.

Эксперты отмечают, что активность может быть как попыткой эксплуатации уже закрытых ошибок, так и подготовкой к использованию ещё не раскрытых уязвимостей. Независимый исследователь под ником NadSec – Rat5ak сообщил, что схожие атаки фиксируются с конца июля и к 28 августа достигли пика. За 20 часов он зарегистрировал свыше 200 тысяч обращений к ASA, при этом нагрузка распределялась равномерно — по 10 тысяч запросов с одного источника. Для атаки были задействованы три автономные системы: Nybula, Cheapy-Host и Global Connectivity Solutions LLP.

Администраторам рекомендуют срочно обновить Cisco ASA до последних версий, закрыв известные уязвимости, и включить многофакторную аутентификацию для всех удалённых входов. Эксперты настоятельно советуют не публиковать напрямую страницы авторизации (/+CSCOE+/logon.html, WebVPN, Telnet или SSH). В случае необходимости такие сервисы лучше выводить через VPN-концентраторы, реверс-прокси или дополнительные шлюзы. Также можно использовать индикаторы атак, предоставленные GreyNoise и Rat5ak, чтобы блокировать подозрительный трафик на периметре сети, а при необходимости применять геоблокировку и ограничение частоты запросов.

На данный момент компания Cisco не дала официальных комментариев по ситуации.