Китайская государственная хакерская группа эксплуатирует ранее неизвестную уязвимость – ошибку “zero-day” – в нескольких популярных продуктах Cisco, подвергая риску сотни корпоративных клиентов. Кампания, активная как минимум с конца ноября 2025 года, нацелена на системы с включенной функцией карантина спама, доступные из Интернета.
Уязвимость и Затронутые Продукты
Уязвимость, официально отслеживаемая как CVE-2025-20393, существует в Cisco Secure Email Gateway и Secure Email and Web Manager. В отличие от многих эксплойтов, эта была обнаружена до того, как Cisco смогла выпустить исправление, оставляя предприятия с ограниченными немедленными вариантами.
Ограниченная, Целевая Эксплуатация
Хотя Cisco не раскрыла точное количество скомпрометированных систем, независимые исследователи оценивают подверженность риску как «сотни, а не тысячи». Атаки кажутся высокотаргетированными, а не широкомасштабными, что указывает на сосредоточение внимания на конкретных организациях с высокой ценностью. По состоянию на эту неделю десятки затронутых систем были обнаружены в Индии, Таиланде и Соединенных Штатах.
Censys, компания в области кибербезопасности, зафиксировала 220 интернет-доступных шлюзов электронной почты Cisco, уязвимых к этой ошибке.
Отсутствие Исправления: Требуются Радикальные Меры
Наиболее критической проблемой является отсутствие программного исправления. Cisco рекомендует пострадавшим клиентам полностью очистить и перестроить свои устройства в качестве единственного гарантированного способа устранить угрозу.
«В случае подтвержденного взлома перестройка устройств в настоящее время является единственным жизнеспособным вариантом для уничтожения механизма сохранения злоумышленников на устройстве».
Эта крайняя мера подчеркивает серьезность взлома. Хакеры не просто крадут данные; они устанавливают постоянный доступ, что делает полное восстановление системы необходимым для обеспечения безопасности.
Почему Это Важно
Zero-day эксплойты – одни из самых опасных киберугроз, поскольку они обходят стандартные защиты. Кампании государственного хакинга, как эта, часто мотивированы шпионажем, кражей интеллектуальной собственности или стратегическими диверсиями. Тот факт, что атаки являются целевыми, говорит о том, что клиентам Cisco в определенных отраслях или геополитических регионах уделяется приоритетное внимание.
Этот инцидент подчеркивает необходимость упреждающей разведки угроз, быстрого реагирования на уязвимости и надежных планов восстановления после инцидентов. Он также подчеркивает растущий риск атак на цепочку поставок, когда уязвимости в широко используемом программном обеспечении становятся рычагами для изощренных противников.
Отсутствие исправления означает, что организации должны полагаться на крайние меры для защиты своих систем. Эта ситуация, вероятно, останется нестабильной, пока Cisco не разработает и не распространит исправление.
