Массовое сканирование устройств Cisco ASA: признаки подготовки к эксплуатации новой уязвимости

Сервис киберразведки GreyNoise зафиксировал две масштабные волны сканирования устройств Cisco Adaptive Security Appliance (ASA) в конце августа, что может указывать на подготовку к эксплуатации ещё не раскрытой уязвимости. Первый всплеск активности включал более 25 000 уникальных IP-адресов в едином импульсе, что значительно превышает фоновые показатели, обычно не превышающие 500 адресов в сутки. Вторая, менее масштабная, но связанная волна последовала несколькими днями позже.

Описание

Обе кампании были нацелены на путь веб-авторизации ASA (/+CSCOE+/logon.html), который является распространённым маркером разведки для выявления устройств. Часть тех же IP-адресов также зондировала Telnet/SSH и программные персонажи ASA в инфраструктуре GreyNoise, что сигнализирует о целенаправленной кампании против продуктов Cisco, а не о случайном сканировании. Аналитики отмечают общие черты: пересекающиеся клиентские сигнатуры и поддельные пользовательские агенты, имитирующие браузер Chrome, что указывает на использование общего инструментария в обоих инцидентах.

Географический контекст показывает доминирование Бразилии как источника активности. За последние 90 дней 64% трафика исходило из Бразилии, за которой следуют Аргентина и США с по 8%. При этом 97% целей находились в Соединённых Штатах, 5% - в Великобритании и 3% - в Германии.

Более глубокий анализ волны 26 августа выявил, что она была обусловлена преимущественно одним ботнет-кластером, сконцентрированным в Бразилии. Путём выделения специфического клиентского отпечатка и изучения активности за два месяца GreyNoise установила, что этот отпечаток использовался исключительно для сканирования устройств Cisco ASA. В тот день из 16 794 IP-адресов, наблюдавшихся в сканировании, 2 858 не соответствовали данной сигнатуре. Таким образом, примерно 14 000 из 17 000 активных адресов - более 80% - были связаны с этим ботнетом. Клиентская сигнатура наблюдалась вместе с набором тесно связанных TCP-сигнатур, что позволяет предположить, что все узлы используют общий стек и инструментарий. Это делает всплеск 26 августа результатом скоординированной кампании ботнета, доминируемую инфраструктурой из Бразилии.

Исторически всплески сканирования часто предшествуют раскрытию новых уязвимостей (CVE). В прошлом активность против тега Cisco ASA Scanner в GreyNoise резко возрастала перед объявлением новой уязвимости в ASA. Недавние всплески в конце августа могут представлять аналогичный сигнал раннего предупреждения.

Существуют реальные прецеденты серьёзных инцидентов, связанных с уязвимостями в Cisco ASA. Кампания ArcaneDoor использовала две уязвимости нулевого дня (Line Dancer и Line Runner) для проникновения в правительственные сети. Группы вымогателей Akira и LockBit также исторически нацеливалась на системы Cisco ASA. Глобальная эксплуатация уязвимости CVE-2020-3452 началась вскоре после её раскрытия, а попытки эксплуатации наблюдались в течение нескольких дней. Это подчёркивает критическую важность проактивных мер безопасности и мониторинга подобной активности сканирования.

Индикаторы компрометации

IPv4

1.24.16.84
1.83.125.228
101.199.254.235
101.36.118.228
101.36.121.22
102.182.190.249
102.205.238.3
103.134.255.22
103.139.9.165
103.139.9.167
103.168.148.75
103.218.242.167
104.23.170.17
104.248.75.7
106.75.154.226
106.75.177.16
107.150.117.187
109.169.22.75
109.254.191.38
109.254.254.81
111.162.155.144
111.33.20.68
111.59.16.7
111.7.106.107
111.7.96.156
111.7.96.167
116.172.200.183
116.172.201.153
118.193.61.179
118.194.248.105
122.96.28.227
123.160.223.74
123.245.84.183
123.245.84.65
123.58.200.147
124.89.90.57
125.82.243.151
128.0.80.2
128.1.46.183
138.0.214.12
139.144.52.241
139.162.7.59
152.32.138.230
152.32.146.202
152.32.178.47
152.32.192.241
152.32.223.215
153.0.80.161
157.100.138.246
157.230.7.0
160.187.191.151
160.20.160.24
162.243.4.24
165.154.162.193
167.99.146.213
167.99.150.115
169.224.122.244
170.239.101.222
171.37.46.236
172.232.159.13
172.233.58.223
172.70.100.176
172.70.247.102
172.71.95.101
175.110.65.137
175.152.111.170
177.136.194.25
177.200.92.248
177.23.248.5
177.66.101.218
178.130.47.139
178.130.47.154
178.130.47.54
179.185.18.67
179.189.200.176
180.95.231.155
181.115.172.67
181.209.88.13
181.78.48.83
181.78.78.212
181.94.205.125
185.156.73.111
185.177.112.149
185.177.72.8
185.190.24.102
185.190.24.15
185.190.24.20
185.190.24.222
185.190.24.24
185.190.24.78
185.200.38.220
186.225.222.47
186.233.221.60
189.190.248.19
190.110.58.13
190.12.114.109
190.210.32.171
191.209.99.98
191.242.246.243
192.155.84.12
192.178.6.38
192.241.137.43
192.81.131.224
194.38.20.53
194.38.20.79
194.38.20.82
195.18.18.106
196.216.81.126
196.251.66.157
198.44.137.54
200.189.14.93
200.59.186.133
204.101.161.15
205.169.39.29
205.169.39.3
207.102.138.19
207.46.13.17
212.45.252.29
213.209.156.10
213.209.156.12
213.209.156.14
213.209.156.4
213.209.156.6
213.209.156.7
213.209.156.8
213.209.156.9
216.180.246.101
216.180.246.102
216.180.246.106
216.180.246.108
216.180.246.109
216.180.246.113
216.180.246.115
216.180.246.116
216.180.246.117
216.180.246.118
216.180.246.12
216.180.246.120
216.180.246.121
216.180.246.122
216.180.246.124
216.180.246.127
216.180.246.128
216.180.246.132
216.180.246.133
216.180.246.136
216.180.246.137
216.180.246.142
216.180.246.145
216.180.246.146
216.180.246.147
216.180.246.148
216.180.246.15
216.180.246.150
216.180.246.151
216.180.246.153
216.180.246.163
216.180.246.165
216.180.246.166
216.180.246.169
216.180.246.170
216.180.246.171
216.180.246.173
216.180.246.174
216.180.246.175
216.180.246.178
216.180.246.18
216.180.246.180
216.180.246.181
216.180.246.183
216.180.246.186
216.180.246.187
216.180.246.188
216.180.246.189
216.180.246.191
216.180.246.192
216.180.246.194
216.180.246.195
216.180.246.197
216.180.246.198
216.180.246.2
216.180.246.20
216.180.246.21
216.180.246.22
216.180.246.23
216.180.246.28
216.180.246.3
216.180.246.30
216.180.246.33
216.180.246.35
216.180.246.39
216.180.246.4
216.180.246.42
216.180.246.46
216.180.246.47
216.180.246.48
216.180.246.49
216.180.246.51
216.180.246.52
216.180.246.53
216.180.246.54
216.180.246.56
216.180.246.57
216.180.246.59
216.180.246.61
216.180.246.62
216.180.246.64
216.180.246.65
216.180.246.67
216.180.246.68
216.180.246.70
216.180.246.71
216.180.246.72
216.180.246.74
216.180.246.78
216.180.246.8
216.180.246.82
216.180.246.90
216.180.246.91
216.180.246.92
216.180.246.93
216.180.246.94
216.180.246.96
216.180.246.97
216.180.246.98
216.180.246.99
217.142.21.62
217.9.247.21
218.104.149.11
218.104.149.71
220.197.51.198
221.207.34.77
221.207.35.137
221.207.35.219
34.123.170.104
36.156.22.4
36.32.3.86
38.159.229.5
38.250.154.213
43.248.108.211
43.248.108.232
45.134.26.32
45.142.154.60
45.142.154.62
45.142.154.63
45.142.154.65
45.164.233.45
45.173.39.32
45.176.88.59
45.178.1.157
45.182.220.21
45.183.252.98
45.190.54.31
45.190.54.8
45.228.97.206
45.230.66.114
45.235.164.18
45.236.35.225
45.238.112.167
45.33.33.4
45.43.63.181
5.101.64.6
5.181.86.111
5.181.86.223
5.181.86.9
5.181.86.95
50.116.32.108
51.195.190.14
51.195.190.9
51.81.155.128
60.13.138.198
60.223.239.151
61.167.255.7
62.164.177.29
62.164.177.31
62.164.177.32
62.164.177.35
62.164.177.37
62.164.177.39
62.210.97.68
65.108.100.186
66.249.64.70
66.249.64.74
66.249.64.75
66.249.65.195
66.249.66.193
66.249.66.198
66.249.66.64
66.249.73.161
68.183.138.97
77.238.226.116
77.90.151.10
77.90.151.11
77.90.151.2
77.90.151.4
77.90.151.6
77.90.151.7
77.90.151.8
78.66.119.139
79.170.24.214
8.209.221.171
8.211.167.186
8.219.136.142
8.219.155.28
84.239.43.133
84.239.43.150
84.239.43.173
84.239.47.23
84.239.47.74
84.239.7.142
84.239.7.146
84.54.70.117
88.210.63.102
88.210.63.21
88.210.63.22
88.210.63.23
88.210.63.30
89.248.165.23
92.63.197.105
94.242.169.53