Chińska państwowa grupa hakerska wykorzystuje nieznaną wcześniej lukę dnia zerowego w kilku popularnych produktach Cisco, narażając na ryzyko setki klientów korporacyjnych. Kampania, aktywna co najmniej od końca listopada 2025 r., atakuje systemy z włączoną kwarantanną spamu, do których można uzyskać dostęp z Internetu.
Luka w zabezpieczeniach i produkty, których dotyczy
Luka, oficjalnie oznaczona jako CVE-2025-20393, występuje w rozwiązaniach Cisco Secure Email Gateway oraz Secure Email and Web Manager. W przeciwieństwie do wielu exploitów, ten został wykryty zanim Cisco wypuściło łatkę, pozostawiając firmom ograniczone możliwości natychmiastowego działania.
Ograniczone, ukierunkowane działanie
Chociaż Cisco nie ujawniło dokładnej liczby zainfekowanych systemów, niezależni badacze szacują, że narażenie sięga „setek, a nie tysięcy”. Ataki wydają się być raczej ukierunkowane, a nie powszechne, co wskazuje na skupienie się na konkretnych organizacjach o dużej wartości. W tym tygodniu wykryto dziesiątki systemów, których dotyczy luka, w Indiach, Tajlandii i Stanach Zjednoczonych.
Censys, firma zajmująca się bezpieczeństwem cybernetycznym, zidentyfikowała 220 internetowych bram e-mailowych Cisco, które są podatne na ten błąd.
Brak rozwiązania: wymagane drastyczne środki
Najbardziej krytycznym problemem jest brak poprawki oprogramowania. Cisco zaleca, aby klienci, których dotyczy problem, całkowicie wyczyścili i odbudowali swoje urządzenia, co jest jedynym gwarantowanym sposobem wyeliminowania zagrożenia.
„W przypadku potwierdzonego kompromisu odbudowa urządzeń jest obecnie jedyną realną opcją zniszczenia mechanizmu utrzymywania się osoby atakującej na urządzeniu”.
To ekstremalne rozwiązanie podkreśla powagę włamania. Hakerzy nie tylko kradną dane; ustanawiają stały dostęp, przez co pełne odzyskanie systemu staje się konieczne dla zapewnienia bezpieczeństwa.
Dlaczego to jest ważne
Exploity dnia zerowego są jednymi z najniebezpieczniejszych zagrożeń cybernetycznych, ponieważ omijają standardowe zabezpieczenia. Rządowe kampanie hakerskie, takie jak ta, często motywowane są szpiegostwem, kradzieżą własności intelektualnej lub sabotażem strategicznym. Fakt, że ataki są ukierunkowane, sugeruje, że priorytetowo traktowani są klienci Cisco z określonych branż lub regionów geopolitycznych.
Ten incydent uwydatnia potrzebę proaktywnej analizy zagrożeń, szybkiego reagowania na luki w zabezpieczeniach i solidnych planów odzyskiwania po incydentach. Podkreśla także rosnące ryzyko ataków na łańcuch dostaw, w których luki w powszechnie używanym oprogramowaniu stają się dźwignią dla wyrafinowanych przeciwników.
Brak łatania oznacza, że organizacje muszą polegać na ekstremalnych środkach w celu ochrony swoich systemów. Sytuacja ta prawdopodobnie pozostanie niestabilna, dopóki Cisco nie opracuje i nie rozprowadzi poprawki.
