Een door de Chinese staat gesponsorde hackgroep maakt misbruik van een voorheen onbekende kwetsbaarheid – een ‘zero-day’-fout – in verschillende populaire Cisco-producten, waardoor honderden zakelijke klanten gevaar lopen. De campagne, die in ieder geval sinds eind november 2025 actief is, richt zich op systemen waarop de spamquarantainefunctie is ingeschakeld en die toegankelijk zijn via internet.
De kwetsbaarheid en de getroffen producten
De kwetsbaarheid, officieel bijgehouden als CVE-2025-20393, bestaat in Cisco’s Secure Email Gateway en Secure Email and Web Manager. In tegenstelling tot veel andere exploits werd deze ontdekt voordat Cisco een patch kon uitbrengen, waardoor bedrijven beperkte directe opties hadden.
Beperkte, gerichte exploitatie
Hoewel Cisco het exacte aantal gecompromitteerde systemen niet heeft bekendgemaakt, schatten onafhankelijke onderzoekers dat de blootstelling ‘in de honderden in plaats van duizenden’ ligt. De aanvallen lijken zeer doelgericht en niet wijdverspreid, wat erop wijst dat de nadruk ligt op specifieke hoogwaardige organisaties. Sinds deze week zijn tientallen getroffen systemen geïdentificeerd in India, Thailand en de Verenigde Staten.
Censys, een cyberbeveiligingsbedrijf, heeft 220 aan internet blootgestelde e-mailgateways van Cisco waargenomen die kwetsbaar zijn voor de fout.
Geen patch beschikbaar: radicale sanering vereist
Het meest kritieke probleem is het ontbreken van een softwarepatch. Cisco adviseert getroffen klanten om hun apparaten volledig te wissen en opnieuw op te bouwen, als de enige gegarandeerde manier om de dreiging te elimineren.
“In geval van een bevestigd compromis is het opnieuw opbouwen van de apparaten momenteel de enige haalbare optie om het persistentiemechanisme van de bedreigingsactoren uit het apparaat uit te roeien,”
Deze drastische maatregel onderstreept de ernst van de inbreuk. De hackers stelen niet alleen gegevens; ze zorgen voor permanente toegang, waardoor volledig systeemherstel noodzakelijk is om de veiligheid te garanderen.
Waarom dit belangrijk is
Zero-day-exploits behoren tot de gevaarlijkste cyberdreigingen omdat ze de standaardverdediging omzeilen. Hackcampagnes van natiestaten, zoals deze, worden vaak ingegeven door spionage, diefstal van intellectueel eigendom of strategische ontwrichting. Het feit dat de aanvallen doelgericht zijn, suggereert dat Cisco-klanten in specifieke sectoren of geopolitieke regio’s voorrang krijgen.
Het incident onderstreept de behoefte aan proactieve informatie over dreigingen, snelle reacties op kwetsbaarheden en robuuste herstelplannen voor incidenten. Het benadrukt ook het groeiende risico van aanvallen op de toeleveringsketen, waarbij kwetsbaarheden in veelgebruikte software hefboompunten worden voor geavanceerde tegenstanders.
Het ontbreken van een patch betekent dat organisaties moeten vertrouwen op extreme maatregelen om hun systemen te beveiligen. Deze situatie zal waarschijnlijk onstabiel blijven totdat Cisco een oplossing ontwikkelt en distribueert.
