Investigadores de cibersegurança estão a emitir um alerta sobre uma vaga de scans em larga escala que tem como alvo os dispositivos Cisco ASA. Esta atividade invulgar pode ser um prenúncio da descoberta de uma nova falha de segurança, deixando milhares de sistemas potencialmente vulneráveis.
O que se está a passar com os equipamentos da Cisco?
A empresa de segurança GreyNoise registou dois picos significativos de atividade durante o final de agosto. Nestas vagas, até 25.000 endereços IP únicos foram detetados a sondar os portais de login dos sistemas ASA e também os acessos Telnet/SSH do Cisco IOS. A segunda vaga, que ocorreu a 26 de agosto de 2025, foi particularmente intensa, sendo 80% do tráfego proveniente de uma botnet brasileira que utilizou cerca de 17.000 IPs.
Os atacantes parecem estar a coordenar esforços, uma vez que em ambas as situações utilizaram user agents semelhantes aos do Chrome, sugerindo uma origem comum. A campanha visou predominantemente os Estados Unidos, mas o Reino Unido e a Alemanha também foram alvos significativos.
A corroborar esta informação, um relatório separado publicado pelo administrador de sistemas conhecido como ‘NadSec – Rat5ak’ descreve uma atividade semelhante, que começou de forma esporádica a 31 de julho e escalou em meados de agosto, culminando com 200.000 tentativas de acesso a equipamentos Cisco ASA num período de apenas 20 horas a 28 de agosto.
Um prenúncio de novas vulnerabilidades?
A grande preocupação com este tipo de reconhecimento em massa é que, historicamente, antecede a divulgação pública de novas vulnerabilidades. Segundo a GreyNoise, em 80% dos casos, estas vagas de scans são seguidas pela revelação de uma falha de segurança nos produtos visados.
Embora a empresa note que esta correlação é estatisticamente mais fraca no caso específico da Cisco, a informação serve de aviso para os administradores de sistemas reforçarem a sua monitorização e medidas proativas. Por vezes, estes scans são apenas tentativas falhadas de explorar falhas já corrigidas, mas também podem ser um esforço concertado para mapear sistemas vulneráveis antes de um novo ataque.
Como proteger os seus sistemas?
Perante este cenário, os administradores de sistemas devem tomar medidas imediatas para proteger as suas redes. A primeira recomendação é aplicar as mais recentes atualizações de segurança nos dispositivos Cisco ASA para garantir que todas as vulnerabilidades conhecidas estão corrigidas.
É igualmente crucial reforçar o controlo de acessos. A autenticação multi-fator (MFA) deve ser implementada para todos os logins remotos. Deve-se também evitar a exposição direta de portais de login, WebVPN, Telnet ou SSH à internet.
Para os casos em que o acesso externo é indispensável, a recomendação passa por utilizar um concentrador de VPN, um proxy reverso ou um gateway de acesso para aplicar camadas adicionais de controlo. Por fim, é aconselhável utilizar os indicadores partilhados pela GreyNoise e Rat5ak para bloquear preventivamente as tentativas de acesso, ou recorrer a bloqueios geográficos e limitação de pedidos (rate limiting) para regiões que não necessitem de acesso à sua organização.
Nenhum comentário
Seja o primeiro!