Cisco ASA Cihazlarına Yönelik Kapsamlı Tarama Faaliyetleri
Son dönemde, Cisco ASA (Adaptive Security Appliance) cihazlarına yönelik geniş ölçekli ağ tarama faaliyetleri dikkat çekiyor. Siber güvenlik araştırmacıları, bu taramaların, söz konusu ürünlerde olası yeni güvenlik açıklarının habercisi olabileceği konusunda uyarılarda bulunuyor. Özellikle, GreyNoise tarafından kaydedilen verilere göre, bu taramalar ay sonlarında önemli bir artış göstermiştir.
Önemli Tarama Gözlemleri
Ağ tarama faaliyetleri, 2025 yılının Ağustos ayında iki büyük pik yaşadı. Bu süreçte, yaklaşık 25,000 benzersiz IP adresi, Cisco ASA giriş portalları ile Cisco IOS Telnet/SSH arayüzlerini denemek için kullanıldı. Özellikle, 26 Ağustos’taki ikinci dalga, %80 oranında Brezilya merkezli bir botnet tarafından yürütülmüştür ve bu botnet yaklaşık 17,000 IP adresi kullanmıştır.
İki durumdaki tehdit aktörleri, birbirinin benzeri Chrome benzeri kullanıcı ajanları kullanarak faaliyetlerini sürdürmüştür. Bu durum, kaynakların ortak bir kökene sahip olabileceği ihtimalini beraberinde getiriyor.
Hedef Ülkeler ve Etkileri
Yapılan tarama faaliyetleri ağırlıklı olarak Amerika Birleşik Devletleri‘ni hedef aldı. Bununla birlikte, Birleşik Krallık ve Almanya da başka hedefler arasında yer aldı. GreyNoise, benzer keşif faaliyetlerinin, analiz edilen ürünlerde yeni güvenlik açıklarının açıklanmasından önce gerçekleştiğini belirtmektedir. Öngörülen oran, Cisco için diğer tedarikçilere kıyasla daha düşük olsa da, bu tür piklerin gözlemlenmesi, siber savunma önlemlerinin artırılmasına yardımcı olabilir.
Saldırıların Niteliği
Bu tarama faaliyetleri genellikle, önceden düzeltmeleri yapılan hatalara yönelik başarısız sömürü girişimleri olarak tanımlanabilir. Ancak, aynı zamanda yeni açıkların sömürülmesi için yapılan numaralandırma ve haritalama çabaları olarak da değerlendirilebilir.
NadSec – Rat5ak adlı sistem yöneticisinin yayınladığı ayrı bir rapor, 31 Temmuz’dan itibaren düşük seviyeli fırsatçı taramaların başladığını ve bunun 14 Ağustos’ta artarak 28 Ağustos’ta zirveye ulaştığını kaydetmiştir. Rat5ak, Cisco ASA son noktaları üzerinde 20 saat içinde 200,000 hit gördüğünü ve trafik düzeyinin saatte ortalama 10,000 IP olarak belirlendiğini bildirmiştir.
Taramaların Kaynağı
Rat5ak, tarama faaliyetinin Nybula, Cheapy-Host ve Global Connectivity Solutions LLP gibi üç ASN üzerinden gerçekleştiğini belirtmiştir. Bu durum, siber güvenlik uzmanlarının bu tür bir etkinliği takip etmesi ve analiz etmesi gerektiğini ortaya koymaktadır.
Öneriler ve Önlemler
Sistem yöneticilerinin, Cisco ASA cihazlarında bilinen güvenlik açıklarını kapatmak için en son güvenlik güncellemelerini uygulamaları son derece önemlidir. Ayrıca, uzaktan ASA girişleri için çok faktörlü kimlik doğrulama (MFA) uygulanması ve /+CSCOE+/logon.html, WebVPN, Telnet veya SSH gibi arayüzlerin doğrudan erişime açılmaması önerilmektedir.
Eğer harici erişim gerekiyorsa, bir VPN konsantratörü, ters proxy veya erişim geçidi ile ek erişim kontrollerinin sağlanması tavsiye edilmektedir. GreyNoise ve Rat5ak raporlarında paylaşılmış olan tarama aktivitesi göstergelerini kullanarak bu tür girişimleri önceden engellemek veya coğrafi sınırlama ve oran sınırlaması uygulamak, siber güvenliği artırmak için faydalı olabilir.
Cisco ile İletişim
BleepingComputer, gözlemlenen aktiviteler hakkında bir açıklama talebinde bulunmuştur ve Cisco’dan gelecek yanıtla yazının güncelleneceği bildirilmiştir. Siber güvenlik alanında yaşanan bu tür gelişmeler, inşa edilecek savunma mekanizmalarının ne denli önemli olduğunu bir kez daha göstermektedir. Özellikle, siber tehditlerin giderek daha karmaşık hale geldiği bu dönemde, proaktif önlemler almak, güvenli bir altyapı için kaçınılmazdır.
