Cisco a anunțat că hackerii exploatează o vulnerabilitate critică din unele dintre cele mai populare produse ale sale, care permite preluarea completă a controlului asupra dispozitivelor afectate. Situația este cu atât mai gravă cu cât, în acest moment, nu există patch-uri disponibile.
Cisco a precizat că a descoperit în 10 decembrie o campanie de atac care vizează software-ul Cisco AsyncOS, în special echipamentele fizice și virtuale Cisco Secure Email Gateway, Cisco Secure Email și Web Manager.
În acest moment, Cisco nu a comunicat câți clienți sunt afectați.
Potrivit companiei, dispozitivele afectate au activată funcția „Spam Quarantine” și sunt accesibile din internet.
Cisco a subliniat că această funcție nu este activată implicit și nici nu este necesar să fie expusă public pe internet, ceea ce poate reprezenta o veste relativ bună.
Michael Taggart, cercetător în securitate cibernetică la UCLA Health Sciences, a declarat că „necesitatea existenței unei interfețe de administrare expuse la internet și a activării anumitor funcții va limita suprafața de atac pentru această vulnerabilitate”.
Totuși, Kevin Beaumont, cercetător în securitate care monitorizează campanii de hacking, a spus că situația pare deosebit de problematică, având în vedere că numeroase organizații mari folosesc produsele afectate, nu există patch-uri disponibile și nu este clar de cât timp hackerii aveau backdoor-uri în sistemele compromise.
Contactată de TechCrunch, purtătoarea de cuvânt a Cisco, Meredith Corley, nu a răspuns la o serie de întrebări, limitându-se la a afirma că firma „investighează activ problema și dezvoltă o soluție permanentă”.
Cisco recomandă în prezent clienților, ca soluție temporară, ștergerea completă și reconstruirea software-ului produselor afectate, în lipsa unui patch.
„În cazul unei compromiteri confirmate, reconstruirea echipamentelor este, în acest moment, singura opțiune viabilă pentru eliminarea mecanismelor de persistență ale actorilor de amenințare din appliance”, a transmis compania.
Potrivit Cisco Talos, divizia de intelligence și cercetare în securitate a companiei, hackerii din spatele campaniei sunt asociați cu China și cu alte grupuri cunoscute de hacking susținute de guvernul chinez. Cisco Talos a publicat un articol dedicat acestei campanii.
Cercetătorii afirmă că atacatorii exploatează vulnerabilitatea, care în acest moment este un zero-day, pentru a instala backdoor-uri persistente și că această campanie este în desfășurare „cel puțin dinspre sfârșitul lunii noiembrie 2025”.
