近期出现大规模针对思科 ASA 设备的网络扫描活动，网络安全研究人员就此发出警示，称此类活动可能预示这些产品即将曝出新漏洞。

网络安全公司 GreyNoise 记录显示，8 月末出现两次显著的扫描高峰，多达 2.5 万个独立 IP 地址对 ASA 登录入口及思科 IOS 的 Telnet/SSH 服务进行探测。

2025 年 8 月 26 日的第二波扫描中，80% 的流量来自一个巴西僵尸网络，涉及约 1.7 万个 IP 地址。两次扫描活动中，威胁者使用的用户代理均与 Chrome 浏览器相似且存在重叠，表明其可能源自同一源头。

扫描活动主要针对美国，英国和德国也未能幸免。 

GreyNoise 此前曾指出，在 80% 的案例中，此类侦察活动都发生在被扫描产品的新漏洞披露之前。从数据上看，思科产品的这种相关性较其他厂商更弱，但扫描高峰的相关信息仍能帮助防御者加强监控并采取主动防御措施。 

这些扫描活动通常是对已修复漏洞的失败利用尝试，但也可能是攻击者为利用新漏洞而进行的资产枚举与网络测绘。

报告证实扫描活动升级

系统管理员 "NadSec – Rat5ak" 此前发布的另一份报告显示，类似扫描活动始于 7 月 31 日，初期为低强度的 opportunistic 扫描，8 月中旬逐渐升级，并于 8 月 28 日达到顶峰。

Rat5ak 观察到，20 小时内思科 ASA 端点遭遇了 20 万次访问，且每个 IP 的流量均稳定在 1 万次左右，呈现出高度自动化的特征。

该管理员称，这些活动来自三个自治系统编号（ASN），分别是 Nybula、Cheapy-Host 和 Global Connectivity Solutions LLP。

安全建议

研究人员建议系统管理员采取以下措施：

1.   为思科 ASA 设备安装最新安全更新，修复已知漏洞；

2.   对所有 ASA 远程登录强制启用多因素认证（MFA）；

3.   避免将 /+CSCOE+/logon.html 页面、WebVPN、Telnet 或 SSH 服务直接暴露在公网；

4.   若确需外部访问，应使用 VPN 集中器、反向代理或访问网关加强访问控制；

5.   利用 GreyNoise 和 Rat5ak 报告中共享的扫描活动指标，主动拦截此类尝试，或对远离本组织业务区域的 IP 实施地理封锁与速率限制。