Čínská státní hackerská skupina využívá dříve neznámou zranitelnost zero-day v několika oblíbených produktech Cisco a ohrožuje stovky podnikových zákazníků. Kampaň, aktivní minimálně od konce listopadu 2025, cílí na systémy s povolenou spamovou karanténou, které jsou dostupné z internetu.
Zranitelnost a dotčené produkty
Chyba zabezpečení, oficiálně sledovaná jako CVE-2025-20393, existuje v Cisco Secure Email Gateway a Secure Email and Web Manager. Na rozdíl od mnoha exploitů byl tento objeven dříve, než Cisco mohlo vydat opravu, což firmám ponechalo omezené okamžité možnosti.
Omezený, cílený provoz
I když Cisco nezveřejnilo přesný počet napadených systémů, nezávislí výzkumníci odhadují, že se expozice bude pohybovat ve „stovkách, nikoli tisících“. Zdá se, že útoky jsou spíše cílené než rozšířené, což naznačuje zaměření na konkrétní vysoce hodnotné organizace. Od tohoto týdne byly v Indii, Thajsku a Spojených státech objeveny desítky postižených systémů.
Censys, společnost zabývající se kybernetickou bezpečností, identifikovala 220 webových e-mailových bran Cisco, které jsou touto chybou zranitelné.
Žádná oprava: Jsou vyžadována drastická opatření
Nejkritičtějším problémem je chybějící oprava softwaru. Společnost Cisco doporučuje, aby postižení zákazníci zcela vymazali a přestavěli svá zařízení jako jediný zaručený způsob eliminace hrozby.
“V případě potvrzeného kompromisu je přestavba zařízení v současnosti jedinou schůdnou možností, jak zničit mechanismus perzistence útočníků na zařízení.”
Toto extrémní opatření podtrhuje závažnost hacku. Hackeři nejen že kradou data; zavádějí trvalý přístup, takže k zajištění bezpečnosti je nezbytná úplná obnova systému.
Proč je to důležité
Zero-day exploity jsou jednou z nejnebezpečnějších kybernetických hrozeb, protože obcházejí standardní ochranu. Vládní hackerské kampaně, jako je tato, jsou často motivovány špionáží, krádeží duševního vlastnictví nebo strategickou sabotáží. Skutečnost, že útoky jsou cílené, naznačuje, že zákazníci Cisco v určitých odvětvích nebo geopolitických regionech jsou upřednostňováni.
Tento incident zdůrazňuje potřebu proaktivního zpravodajství o hrozbách, rychlé reakce na zranitelná místa a robustních plánů obnovy incidentů. Zdůrazňuje také rostoucí riziko útoků na dodavatelský řetězec, kdy se zranitelnosti široce používaného softwaru stávají pákovým efektem pro sofistikované protivníky.
Nedostatek oprav znamená, že organizace musí spoléhat na extrémní opatření k ochraně svých systémů. Tato situace pravděpodobně zůstane nestabilní, dokud Cisco nevyvine a nedistribuuje opravu.
