Компания Cisco не уточнила, сколько её клиентов уже подверглись взлому или используют уязвимые системы. Однако теперь исследователи в области безопасности сообщают, что сотни клиентов Cisco потенциально могут стать жертвами хакеров.
Пётр Киевский, исполнительный директор некоммерческой организации Shadowserver Foundation, которая сканирует и отслеживает интернет на предмет хакерских кампаний, заявил TechCrunch, что масштаб угрозы «исчисляется сотнями, а не тысячами или десятками тысяч».
Киевский отметил, что фонд не фиксирует широкомасштабной активности, предположительно потому, что «текущие атаки носят целенаправленный характер».
Shadowserver ведет страницу, где отслеживает количество систем, подверженных риску и уязвимых к уязвимости, раскрытой Cisco и официально обозначенной как CVE-2025-20393. Эта уязвимость известна как «zero-day» (уязвимость нулевого дня), поскольку она была обнаружена до того, как компания успела выпустить исправления. На момент публикации статьи Индия, Таиланд и США совместно имели десятки затронутых систем в пределах своих границ.
Censys, фирма по кибербезопасности, которая отслеживает хакерскую активность в интернете, также фиксирует ограниченное число клиентов Cisco, затронутых уязвимостью. Согласно сообщению в блоге, Censys обнаружила 220 доступных из интернета почтовых шлюзов Cisco — одного из продуктов, известных своей уязвимостью.
В своем бюллетене безопасности, опубликованном ранее на этой неделе, Cisco сообщила, что уязвимость присутствует в программном обеспечении нескольких продуктов, включая Secure Email Gateway и Secure Email and Web Manager.
Cisco заявила, что эти системы уязвимы только в том случае, если они доступны из интернета и имеют включенную функцию «spam quarantine» (карантин спама). По данным Cisco, ни одно из этих двух условий не включено по умолчанию, что может объяснять относительно небольшое количество уязвимых систем в интернете.
Cisco не ответила на запрос о комментарии, в котором спрашивалось, может ли компания подтвердить данные, полученные Shadowserver и Censys.
Более серьезная проблема этой хакерской кампании заключается в отсутствии доступных исправлений. Cisco рекомендует клиентам стереть данные и «восстановить затронутое устройство в безопасном состоянии» для устранения последствий взлома.
«В случае подтвержденного компрометации, перестройка устройств является на данный момент единственным жизнеспособным вариантом для искоренения механизма сохранения присутствия злоумышленников на устройстве», — написала компания в своем бюллетене.
По данным подразделения Cisco по анализу угроз Talos, хакерская кампания ведется «как минимум с конца ноября 2025 года».
Автор – Lorenzo Franceschi-Bicchierai
