W środę firma Cisco ogłosiła, że hakerzy wykorzystują krytyczną lukę dnia zerowego w kilku swoich popularnych produktach, umożliwiając pełne przejęcie zagrożonych urządzeń. Obecnie nie są dostępne żadne poprawki. Firma ujawniła kampanię hakerską w poradniku bezpieczeństwa, stwierdzając, że odkryła tę aktywność 10 grudnia. Celem ataków jest oprogramowanie Cisco AsyncOS używane na urządzeniach fizycznych i wirtualnych, w tym Cisco Secure Email Gateway, Cisco Secure Email i Web Manager. Urządzenia podatne na ataki mają włączoną funkcję „Kwarantanna spamu” i są dostępne z Internetu. Firma Cisco zauważyła, że ta funkcja nie jest domyślnie włączona i nie wymaga udostępniania danych w Internecie. Michael Taggart, starszy badacz cyberbezpieczeństwa w UCLA Health Sciences, powiedział TechCrunch, że „wymóg posiadania interfejsu zarządzania z dostępem do Internetu i włączenia niektórych funkcji ograniczy powierzchnię ataku w przypadku tej luki”. Kevin Beaumont, badacz bezpieczeństwa śledzący kampanie hakerskie, opisał sytuację TechCrunchowi jako szczególnie problematyczną. Podkreślił, że wiele dużych organizacji korzysta z produktów, których dotyczy luka, nie istnieją żadne łaty, a czas trwania backdoorów hakerów w zaatakowanych systemach pozostaje niejasny. Cisco nie ujawniło liczby klientów, których dotyczy problem. Rzeczniczka Cisco, Meredith Corley, powiedziała TechCrunch, że firma „aktywnie bada problem i opracowuje trwałe rozwiązanie”. Na dodatkowe pytania nie odpowiedziała. W swoim poradniku Cisco zaleca wyczyszczenie i odbudowanie dotkniętych urządzeń jako jedyną obecną opcję usunięcia mechanizmów utrzymywania się aktorów zagrażających. W zaleceniu stwierdzono: „W przypadku potwierdzonego kompromisu odbudowa urządzeń jest obecnie jedyną realną opcją wyeliminowania mechanizmu utrzymywania się aktorów zagrażających z urządzenia”. Cisco Talos, należący do firmy zespół ds. analizy zagrożeń, w poście na blogu powiązał hakerów z Chinami i znanymi chińskimi grupami hakerskimi rządowymi. Talos poinformował, że aktorzy wykorzystują lukę dnia zerowego do instalowania trwałych backdoorów. Kampania jest aktywna co najmniej od końca listopada 2025 r.
Source: Cisco ogłasza, że hakerzy wykorzystują AsyncOS zero-day
