Underc0de - La Casa de los Informáticos

Los dispositivos Cisco ASA han sido el foco de intensos escaneos de red durante finales de agosto de 2025, lo que ha generado advertencias de la comunidad de ciberseguridad sobre la posibilidad de que estos movimientos sean la antesala de una nueva vulnerabilidad crítica en los productos del fabricante.

La alerta surge tras los hallazgos de GreyNoise, una firma especializada en inteligencia de amenazas, que identificó picos significativos de actividad en las últimas semanas, lo que indica que actores maliciosos están dedicando recursos importantes a mapear y sondear los portales de inicio de sesión de Cisco ASA y Cisco IOS Telnet/SSH.

GreyNoise detecta dos olas de escaneo dirigidas a Cisco ASA

GreyNoise informó que la primera ola de escaneos comenzó a finales de agosto, alcanzando hasta 25,000 direcciones IP únicas que participaron en la actividad maliciosa. Posteriormente, el 26 de agosto de 2025, se registró una segunda oleada aún más preocupante, impulsada en gran parte por una botnet de origen brasileño, responsable de alrededor del 80% del tráfico malicioso con 17,000 direcciones IP activas.

Los atacantes utilizaron agentes de usuario falsificados que imitaban a navegadores Chrome, lo que sugiere un posible origen común detrás de ambas campañas. Este patrón de actividad refleja técnicas de encubrimiento utilizadas por los operadores de botnets para evadir sistemas de detección y análisis.

En cuanto a los países más afectados, el objetivo principal fue Estados Unidos, seguido por el Reino Unido y Alemania, lo que refuerza la hipótesis de que los actores maliciosos están priorizando infraestructuras empresariales y gubernamentales de alto valor estratégico.

Escaneos como preludio de vulnerabilidades críticas

Según GreyNoise, en el 80% de los casos documentados, este tipo de actividad de reconocimiento masivo suele anticipar la divulgación de nuevas vulnerabilidades en los productos objetivo. Aunque la correlación es algo más débil en el caso de Cisco frente a otros proveedores, sigue siendo un indicador de riesgo que los defensores no deben ignorar.

La firma explicó que los escaneos masivos suelen tener dos finalidades:

• Explotar vulnerabilidades conocidas que aún no han sido parchadas por algunos administradores.
• Enumerar y mapear dispositivos vulnerables, con el objetivo de preparar ataques a gran escala en caso de descubrirse nuevas fallas de día cero.

Informe adicional de Rat5ak: picos de 200,000 intentos en 20 horas

Un informe paralelo publicado por el administrador del sistema "NadSec – Rat5ak" respalda los hallazgos de GreyNoise. Según el reporte, la actividad comenzó el 31 de julio con escaneos oportunistas de bajo nivel, pero escaló rápidamente a mediados de agosto, culminando el 28 de agosto con una campaña de gran magnitud.

Rat5ak registró más de 200,000 intentos de conexión en terminales Cisco ASA en apenas 20 horas, con un tráfico uniforme de 10,000 solicitudes por dirección IP, lo que confirma la automatización masiva detrás de los ataques.

El tráfico malicioso se originó principalmente en tres sistemas autónomos (ASN):

• Nybula
• Cheapy-Host
• Global Connectivity Solutions LLP

Este patrón sugiere que los atacantes están alquilando o comprometiendo infraestructura de hosting para orquestar campañas de escaneo a gran escala.

Recomendaciones para administradores de Cisco ASA

Dado el nivel de riesgo y la escala de la actividad detectada, los expertos en ciberseguridad recomiendan a las organizaciones que utilicen Cisco ASA aplicar las siguientes medidas preventivas:

• Actualizar los dispositivos con los últimos parches de seguridad liberados por Cisco para corregir vulnerabilidades conocidas.
• Habilitar autenticación multifactor (MFA) en todos los accesos remotos a Cisco ASA, reduciendo la posibilidad de intrusiones en caso de robo de credenciales.
• Evitar la exposición directa a Internet de rutas críticas como /+CSCOE+/logon.html, WebVPN, Telnet y SSH.
• Utilizar un concentrador VPN, un proxy inverso o una puerta de enlace de acceso seguro, en caso de que se requiera conectividad remota, aplicando así capas adicionales de control de acceso.
• Implementar bloqueo geográfico y limitación de velocidad para restringir conexiones desde regiones que no forman parte del ámbito de operación de la organización.
• Aprovechar los indicadores de compromiso (IoC) publicados por GreyNoise y Rat5ak para filtrar tráfico sospechoso y bloquear intentos de explotación tempranos.

Cisco bajo la lupa: ¿qué esperar a corto plazo?

La compañía Cisco aún no ha emitido comentarios oficiales sobre la actividad observada. Sin embargo, la experiencia pasada demuestra que estos picos de reconocimiento masivo suelen ser la antesala de campañas de explotación que se intensifican en cuanto se hace pública una vulnerabilidad crítica o se libera un exploit funcional.

Por este motivo, las organizaciones deben anticiparse y reforzar su postura de seguridad antes de que surjan ataques más agresivos. La superficie de ataque de Cisco ASA, por su amplia implementación en redes empresariales y gubernamentales, representa un vector prioritario para actores de amenazas avanzadas y grupos criminales organizados.

En fin, los recientes escaneos masivos contra Cisco ASA y Cisco IOS Telnet/SSH detectados por GreyNoise y Rat5ak constituyen una señal de alerta que los defensores no deben pasar por alto. Aunque algunos de estos intentos pueden corresponder a explotaciones fallidas de vulnerabilidades previamente parcheadas, el volumen y la coordinación sugieren una preparación para explotar nuevas fallas de seguridad.

La lección principal es clara: los administradores de Cisco deben actuar ahora, aplicando actualizaciones, endureciendo configuraciones y utilizando inteligencia de amenazas compartida para minimizar la exposición. Una respuesta proactiva marcará la diferencia entre resistir una oleada de ataques o convertirse en víctima de una intrusión con consecuencias potencialmente devastadoras.

Fuente: https://www.bleepingcomputer.com/