Un gruppo di hacker sponsorizzato dallo stato cinese sta sfruttando una vulnerabilità precedentemente sconosciuta – un difetto “zero-day” – in diversi popolari prodotti Cisco, mettendo a rischio centinaia di clienti aziendali. La campagna, attiva almeno dalla fine di novembre 2025, prende di mira i sistemi con la funzionalità di quarantena dello spam abilitata e accessibili da Internet.
Vulnerabilità e prodotti interessati
La vulnerabilità, ufficialmente tracciata come CVE-2025-20393, esiste all’interno di Secure Email Gateway e Secure Email and Web Manager di Cisco. A differenza di molti exploit, questo è stato scoperto prima che Cisco potesse rilasciare una patch, lasciando alle aziende opzioni immediate limitate.
Sfruttamento limitato e mirato
Sebbene Cisco non abbia rivelato il numero esatto di sistemi compromessi, ricercatori indipendenti stimano che l’esposizione sia “nell’ordine delle centinaia anziché delle migliaia”. Gli attacchi sembrano altamente mirati, piuttosto che diffusi, suggerendo un focus su specifiche organizzazioni di alto valore. A partire da questa settimana, sono state identificate dozzine di sistemi interessati in India, Tailandia e Stati Uniti.
Censys, una società di sicurezza informatica, ha osservato 220 gateway di posta elettronica Cisco esposti a Internet vulnerabili alla falla.
Nessuna patch disponibile: è necessaria una riparazione radicale
Il problema più critico è la mancanza di una patch software. Cisco consiglia ai clienti interessati di cancellare e ricostruire completamente i propri dispositivi come unico modo garantito per eliminare la minaccia.
“In caso di compromissione confermata, la ricostruzione delle apparecchiature è, attualmente, l’unica opzione praticabile per sradicare il meccanismo di persistenza degli autori delle minacce dall’appliance,”
Questa misura drastica evidenzia la gravità della violazione. Gli hacker non stanno semplicemente rubando dati; stanno stabilendo un accesso permanente, rendendo necessario il ripristino completo del sistema per garantire la sicurezza.
Perché è importante
Gli exploit zero-day sono tra le minacce informatiche più pericolose perché aggirano le difese standard. Le campagne di hacking a livello nazionale, come questa, sono spesso motivate da spionaggio, furto di proprietà intellettuale o interruzioni strategiche. Il fatto che gli attacchi siano mirati suggerisce che venga data priorità ai clienti Cisco in settori specifici o regioni geopolitiche.
L’incidente sottolinea la necessità di un’intelligence proattiva sulle minacce, di una risposta rapida alle vulnerabilità e di solidi piani di ripristino degli incidenti. Evidenzia inoltre il crescente rischio di attacchi alla catena di fornitura, in cui le vulnerabilità dei software ampiamente utilizzati diventano punti di leva per avversari sofisticati.
L’assenza di una patch significa che le organizzazioni devono fare affidamento su misure estreme per proteggere i propri sistemi. Questa situazione rimarrà probabilmente volatile finché Cisco non svilupperà e distribuirà una soluzione.
