Lonjakan Pemindaian Jaringan pada Perangkat Cisco ASA: Waspada Potensi Kerentanan Baru di 2025

Surge pemindaian jaringan besar-besaran yang menargetkan perangkat Cisco ASA telah terjadi pada akhir Agustus 2025, memunculkan kekhawatiran akan kemungkinan munculnya celah keamanan baru pada produk tersebut. Aktivitas ini terdeteksi oleh GreyNoise, yang mencatat dua lonjakan pemindaian signifikan dengan hingga 25.000 alamat IP unik yang mencoba mengakses portal login ASA dan juga layanan Telnet/SSH Cisco IOS.

Lonjakan kedua terjadi pada tanggal 26 Agustus 2025, didominasi sekitar 80% oleh sebuah botnet yang berpusat di Brasil, menggunakan sekitar 17.000 IP. Kedua gelombang pemindaian ini memperlihatkan ciri khas user agent mirip Chrome yang tumpang tindih, mengindikasikan asal serangan yang sama. Target utama dari pemindaian ini adalah jaringan di Amerika Serikat, disusul Inggris dan Jerman.

Menurut GreyNoise, aktivitas pemindaian seperti ini pada 80% kasus sebelumnya merupakan pertanda awal dari pengungkapan kerentanan baru pada produk yang dipindai. Meskipun korelasi ini sedikit lebih lemah untuk Cisco dibandingkan vendor lain, informasi lonjakan ini tetap penting bagi para pengelola sistem untuk meningkatkan monitoring dan langkah proaktif.

Aktivitas pemindaian ini umumnya merupakan upaya eksploitasi yang gagal terhadap celah yang sudah ditambal sebelumnya, namun bisa juga merupakan usaha pemetaan dan identifikasi sebagai persiapan untuk eksploitasi celah baru. Laporan terpisah dari administrator sistem “NadSec – Rat5ak” juga mengungkap aktivitas serupa yang mulai dari 31 Juli dengan pemindaian kecil, meningkat pada pertengahan Agustus dan mencapai puncaknya pada 28 Agustus dengan 200.000 serangan dalam 20 jam, yang terindikasi sangat otomatis. Aktivitas ini berasal dari tiga ASN, yakni Nybula, Cheapy-Host, dan Global Connectivity Solutions LLP.

Demi mengantisipasi risiko tersebut, administrator sistem dianjurkan untuk segera mengaplikasikan pembaruan keamanan terbaru pada perangkat Cisco ASA, menerapkan autentikasi multi-faktor (MFA) untuk semua akses remote ASA, dan menghindari eksposur langsung portal login, WebVPN, Telnet, serta SSH. Jika akses eksternal diperlukan, penggunaan VPN concentrator, reverse proxy, atau access gateway dianjurkan untuk menerapkan kontrol akses tambahan. Selain itu, indikator aktivitas pemindaian dari laporan GreyNoise dan Rat5ak dapat digunakan untuk memblokir upaya tersebut secara preemptive, serta memanfaatkan geo-blocking dan pembatasan laju akses untuk wilayah yang jauh dari organisasi.

Pemindaian besar-besaran ini menegaskan perlunya kewaspadaan lebih tinggi dan penerapan pengamanan ketat terhadap perangkat Cisco ASA guna melindungi jaringan penting dari potensi serangan eksploitasi celah yang mungkin segera muncul.