В своём уведомлении о безопасности Cisco сообщила, что 10 декабря была обнаружена хакерская кампания, нацеленная на программное обеспечение Cisco AsyncOS, в частности на физические и виртуальные устройства Cisco Secure Email Gateway, Cisco Secure Email и Web Manager. В уведомлении говорится, что затронутые устройства имеют включенную функцию «Spam Quarantine» и доступны из Интернета.
Cisco отметила, что эта функция не включена по умолчанию и не требует доступа из Интернета, что может быть хорошей новостью. Майкл Тэггарт, старший научный сотрудник по кибербезопасности в UCLA Health Sciences, сообщил TechCrunch, что «требование наличия интерфейса управления, доступного из Интернета, и включённых определённых функций ограничит поверхность атаки для этой уязвимости».
Однако Кевин Бомонт, исследователь в области безопасности, отслеживающий хакерские кампании, заявил TechCrunch, что это, по-видимому, особенно проблемная хакерская кампания, поскольку затронутые продукты используют многие крупные организации, нет доступных исправлений, и неясно, как долго хакеры имели бэкдоры в затронутых системах.
На данный момент Cisco не сообщает, сколько клиентов пострадало.
В ответ на запрос TechCrunch представитель Cisco Мередит Корли не ответила на ряд вопросов, вместо этого заявив, что компания «активно расследует проблему и разрабатывает постоянное решение».
Решение, которое Cisco предлагает клиентам в настоящее время, заключается, по сути, в очистке и переустановке программного обеспечения затронутых продуктов, поскольку патч отсутствует.
«В случае подтверждённого компрометации переустановка устройств является в настоящее время единственным жизнеспособным вариантом для искоренения механизма сохранения присутствия злоумышленников в устройстве», — написала компания.
Хакеры, стоящие за кампанией, связаны с Китаем и другими известными китайскими государственными хакерскими группами, согласно Cisco Talos, команде исследований угроз компании, которая опубликовала сообщение в блоге об этой кампании.
Исследователи написали, что хакеры используют уязвимость, которая на данный момент является zero-day, для установки постоянных бэкдоров, и что кампания продолжается «по крайней мере с конца ноября 2025 года».
Автор – Lorenzo Franceschi-Bicchierai
