Корпорация Cisco сообщила о выявлении масштабной хакерской кампании, связанной с китайскими злоумышленниками, которые эксплуатируют серьезную уязвимость в ряде популярных продуктов компании. Эта уязвимость позволяет полностью захватывать контроль над уязвимыми устройствами, а исправление в настоящее время недоступно.
Об этом сообщает ProIT
Атака на Cisco Secure Email и другие продукты
10 декабря специалисты Cisco обнаружили целенаправленные атаки на программное обеспечение Cisco AsyncOS, в частности на физические и виртуальные устройства Cisco Secure Email Gateway, Cisco Secure Email и Web Manager. Под угрозой оказались те устройства, в которых активирована функция «Spam Quarantine» и которые имеют доступ к интернету. Эта функция по умолчанию отключена и не должна быть открыта для сети, что потенциально уменьшает круг риска.
Майкл Таггарт, старший исследователь в области кибербезопасности в UCLA Health Sciences, подчеркнул, что «наличие интерфейса управления, доступного из интернета, и включение определенных функций ограничивают площадь атаки для этой уязвимости».
Отсутствие патча и риски для крупных компаний
По мнению эксперта по информационной безопасности Кевина Бомонта, эта хакерская кампания является особенно опасной, поскольку уязвимые продукты используют многие крупные организации, а патчи в настоящее время отсутствуют. Также неизвестно, сколько времени злоумышленники имели доступ к системам через бэкдоры. Cisco в настоящее время не раскрывает данные о количестве пострадавших клиентов.
В ответ на запросы компания сообщила, что «активно расследует ситуацию и разрабатывает постоянное решение».
“В случае подтвержденного компрометации, восстановление устройств является в настоящее время единственным жизнеспособным вариантом для устранения механизма постоянства злоумышленников из устройства”, — написала компания.
Сейчас единственный способ защитить уязвимые устройства — полное удаление и восстановление программного обеспечения, поскольку другого исправления пока не существует.
По данным аналитиков Cisco Talos, за атакой стоят хакерские группировки, связанные с властями Китая. Они используют неустраненную zero-day уязвимость для установки стойких бэкдоров на устройствах. Исследователи отмечают, что кампания продолжается как минимум с конца ноября 2025 года.