Eine staatlich geförderte chinesische Hackergruppe nutzt eine bisher unbekannte Schwachstelle – einen „Zero-Day“-Fehler – in mehreren beliebten Cisco-Produkten aus und gefährdet damit Hunderte von Unternehmenskunden. Die Kampagne, die seit mindestens Ende November 2025 aktiv ist, zielt auf Systeme mit aktivierter Spam-Quarantänefunktion ab, die über das Internet zugänglich sind.
Die Sicherheitslücke und die betroffenen Produkte
Die Schwachstelle mit der offiziellen Bezeichnung CVE-2025-20393 besteht im Secure Email Gateway und im Secure Email and Web Manager von Cisco. Im Gegensatz zu vielen anderen Exploits wurde dieser entdeckt, bevor Cisco einen Patch veröffentlichen konnte, sodass Unternehmen nur begrenzte unmittelbare Möglichkeiten hatten.
Begrenzte, gezielte Ausbeutung
Obwohl Cisco die genaue Anzahl der kompromittierten Systeme nicht bekannt gegeben hat, schätzen unabhängige Forscher die Gefährdung auf „Hunderte statt Tausende“. Die Angriffe scheinen sehr gezielt und nicht weit verbreitet zu sein, was darauf hindeutet, dass der Fokus auf bestimmte hochwertige Organisationen gerichtet ist. Seit dieser Woche wurden Dutzende betroffener Systeme in Indien, Thailand und den Vereinigten Staaten identifiziert.
Censys, ein Cybersicherheitsunternehmen, hat 220 internetgefährdete Cisco-E-Mail-Gateways beobachtet, die für den Fehler anfällig sind.
Kein Patch verfügbar: Radikale Sanierung erforderlich
Das kritischste Problem ist das Fehlen eines Software-Patches. Cisco empfiehlt betroffenen Kunden, ihre Appliances vollständig zu löschen und neu zu erstellen, da dies die einzige garantierte Möglichkeit ist, die Bedrohung zu beseitigen.
„Im Falle einer bestätigten Kompromittierung ist die Neuerstellung der Appliances derzeit die einzig praktikable Option, um den Persistenzmechanismus der Bedrohungsakteure von der Appliance zu entfernen.“
Diese drastische Maßnahme verdeutlicht die Schwere des Verstoßes. Die Hacker stehlen nicht nur Daten; Sie richten einen dauerhaften Zugriff ein, sodass zur Gewährleistung der Sicherheit eine vollständige Systemwiederherstellung erforderlich ist.
Warum das wichtig ist
Zero-Day-Exploits gehören zu den gefährlichsten Cyber-Bedrohungen, da sie Standardabwehrmaßnahmen umgehen. Nationalstaatliche Hacking-Kampagnen wie diese werden oft durch Spionage, Diebstahl geistigen Eigentums oder strategische Störungen motiviert. Die Tatsache, dass die Angriffe zielgerichtet sind, deutet darauf hin, dass Cisco-Kunden in bestimmten Branchen oder geopolitischen Regionen priorisiert werden.
Der Vorfall unterstreicht die Notwendigkeit proaktiver Bedrohungsinformationen, einer schnellen Reaktion auf Schwachstellen und robuster Pläne zur Wiederherstellung von Vorfällen. Es verdeutlicht auch das wachsende Risiko von Angriffen auf die Lieferkette, bei denen Schwachstellen in weit verbreiteter Software zu Angriffspunkten für raffinierte Angreifer werden.
Das Fehlen eines Patches bedeutet, dass Unternehmen auf extreme Maßnahmen zur Sicherung ihrer Systeme angewiesen sind. Diese Situation wird wahrscheinlich so lange instabil bleiben, bis Cisco eine Lösung entwickelt und verteilt.
