Um grupo de hackers patrocinado pelo Estado chinês está explorando uma vulnerabilidade até então desconhecida – uma falha de “dia zero” – em vários produtos populares da Cisco, colocando em risco centenas de clientes empresariais. A campanha, que está ativa pelo menos desde o final de novembro de 2025, tem como alvo sistemas com o recurso de quarentena de spam ativado e acessíveis pela Internet.
A vulnerabilidade e os produtos afetados
A vulnerabilidade, oficialmente rastreada como CVE-2025-20393, existe no Secure Email Gateway e no Secure Email and Web Manager da Cisco. Ao contrário de muitas explorações, esta foi descoberta antes que a Cisco pudesse lançar um patch, deixando as empresas com opções imediatas limitadas.
Exploração limitada e direcionada
Embora a Cisco não tenha divulgado o número exato de sistemas comprometidos, pesquisadores independentes estimam que a exposição esteja “na casa das centenas e não dos milhares”. Os ataques parecem altamente direcionados, em vez de generalizados, sugerindo um foco em organizações específicas de elevado valor. Até esta semana, dezenas de sistemas afetados foram identificados na Índia, Tailândia e Estados Unidos.
Censys, uma empresa de segurança cibernética, observou 220 gateways de e-mail da Cisco expostos à Internet vulneráveis à falha.
Nenhum patch disponível: correção radical necessária
O problema mais crítico é a falta de um patch de software. A Cisco aconselha os clientes afetados a limpar e reconstruir completamente seus dispositivos como a única maneira garantida de eliminar a ameaça.
“Em caso de comprometimento confirmado, a reconstrução dos dispositivos é, atualmente, a única opção viável para erradicar o mecanismo de persistência dos agentes de ameaça do dispositivo,”
Esta medida drástica destaca a gravidade da violação. Os hackers não estão simplesmente roubando dados; eles estão estabelecendo acesso persistente, tornando necessária a restauração completa do sistema para garantir a segurança.
Por que isso é importante
As explorações de dia zero estão entre as ameaças cibernéticas mais perigosas porque contornam as defesas padrão. Campanhas de hackers em âmbito estatal, como esta, são frequentemente motivadas por espionagem, roubo de propriedade intelectual ou perturbação estratégica. O facto de os ataques serem direcionados sugere que os clientes da Cisco em setores específicos ou regiões geopolíticas estão a ser priorizados.
O incidente ressalta a necessidade de inteligência proativa contra ameaças, resposta rápida a vulnerabilidades e planos robustos de recuperação de incidentes. Também destaca o risco crescente de ataques à cadeia de abastecimento, onde vulnerabilidades em software amplamente utilizado se tornam pontos de alavancagem para adversários sofisticados.
A ausência de um patch significa que as organizações devem contar com medidas extremas para proteger os seus sistemas. Esta situação provavelmente permanecerá volátil até que a Cisco desenvolva e distribua uma solução.
