Hackers Scanning Cisco ASA Devices to Exploit Vulnerabilities from 25,000 IPs
2025/09/05 CyberSecurityNews — 2025年8月下旬に観測されたのは、Cisco Adaptive Security Appliances (ASA) を標的とする悪意あるスキャン活動であり、25,000 以上の固有 IP アドレスが協調的な偵察に参加するという、前例のない規模のものである。脅威インテリジェンス企業 GreyNoise が共有したのは、通常は1日あたり 500 未満であったベースラインからの急増を示す、2つの異なるスキャンの波の観測結果である。8月22日のピーク時では、約 25,000 の IP アドレスが関与し、その数日後にも、小規模の関連キャンペーンが発生している。
GreyNoise の分析によると、8月26日のスキャンは主にブラジルに集中する単一のボットネット・クラスターに起因し、当日にアクティブだった約 17,000 の IP アドレスのうちの 80%以上に相当する 14,000 以上が、この協調的なボットネット・キャンペーンに関与した。この攻撃者は、Chrome を装うユーザー・エージェントを、共通のクライアント・シグネチャとして使用しており、共通のスキャン・ツール・キットがインフラ全体に展開されたことが示唆される。
研究者たちは、「クライアント・シグネチャは、密接に関連する一連の TCP シグネチャと共に確認され、全ノードが共通のスタックとツールを共有していることが示唆される」と指摘し、このキャンペーンの組織的な性質を裏付けている。
地理的分布と標的パターン
これまでの 90 日間において、一連のスキャン活動には地理的な偏りが明確に存在する。発信元はブラジルが 64% と最多であり、アルゼンチンと米国が、それぞれ 8% を占めている。その一方で、GreyNoise の調査によると、標的とされる米国のインフラは 97% を占め、それに続くのが英国 5% と、ドイツの 3% である。
※注:1つのソース IP が、複数の国に存在するターゲット IP を同時に狙う場合があるため、ターゲット国別の割合の合計は 100% を超えることがある。
2つのスキャンの波は、ASA Web ログインパス /+CSCOE+/logon.html を集中的に狙っており、同一の IP サブセットが Cisco Telnet/SSH や ASA ソフトウェアのペルソナを調査していた。それは便乗的な活動ではなく、意図的に Cisco を狙ったキャンペーンであることを示している。
こうしたスキャン活動の規模とタイミングが示唆するのは、新たな脆弱性の開示が差し迫っている状況である。GreyNoise の Early Warning Signals によると、スキャンの急増は新たな CVE 公開に先行することが多く、過去の Cisco ASA 脆弱性のケースでも、同様の兆候が確認されている。
Cisco ASA は高度な脅威アクターたちの主要な標的であり、ArcaneDoor によるスパイ活動キャンペーンでは、Cisco ASA システムの 2 件のゼロデイが悪用され、政府ネットワークへの侵入に至った。また、過去においては、Akira や LockBit などのランサムウェア・グループが CVE-2020-3452 を標的とし、脆弱性情報が公開された直後に武器化したという事例もある。
Cisco ASA を運用する組織は、直ちに脆弱性のリスクを確認し、パッチの適用状況を点検するとともに、異常な認証試行を監視すべきである。セキュリティ・チームに求められるのは、今回の大規模かつ協調的な偵察活動を踏まえ、ゼロデイ攻撃を想定した追加の監視の導入である。
この前例のない規模の偵察活動は、なんらかの脆弱性を悪用する脅威アクターが、大規模な攻撃を準備している可能性を示している。したがって、Cisco ASA セキュリティ・アプライアンスを利用する組織は、迅速に防御対策を講じることが不可欠である。
Cisco ASA を狙った前例のない大規模スキャン活動は観測されました。特徴的なのは、Chrome を装ったユーザー・エージェントや共通のスキャン・ツールが使われている点であり、攻撃基盤の統一性が示されています。ASA の Web ログイン・ページや管理系インターフェースが標的とされており、攻撃者が既知または未公開の弱点を突く準備を進めていることが推測されます。ご利用のチームは、ご注意ください。よろしければ、Cisco ASA で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.