Китайська державна хакерська група використовує раніше невідому вразливість нульового дня в кількох популярних продуктах Cisco, піддаючи ризику сотні корпоративних клієнтів. Кампанія, яка діє принаймні з кінця листопада 2025 року, націлена на системи з увімкненим карантином спаму, які доступні з Інтернету.
Вразливість і постраждалі продукти
Уразливість, яка офіційно відстежується як CVE-2025-20393, існує в Cisco Secure Email Gateway і Secure Email and Web Manager. На відміну від багатьох експлойтів, цей був виявлений до того, як Cisco змогла випустити виправлення, залишаючи підприємствам обмежені негайні можливості.
Обмежена, цільова операція
Хоча Cisco не розкрила точну кількість скомпрометованих систем, незалежні дослідники оцінюють загрозу в «сотні, а не тисячі». Схоже, що атаки є цілеспрямованими, а не широкомасштабними, що свідчить про зосередженість на конкретних цінних організаціях. Станом на цей тиждень десятки уражених систем були виявлені в Індії, Таїланді та Сполучених Штатах.
Censys, компанія з кібербезпеки, виявила 220 веб-шлюзів електронної пошти Cisco, які вразливі до цієї помилки.
Немає виправлення: потрібні кардинальні заходи
Найбільш критичною проблемою є відсутність виправлення програмного забезпечення. Cisco рекомендує постраждалим клієнтам повністю стерти та переналаштувати свої пристрої як єдиний гарантований спосіб усунути загрозу.
“У разі підтвердженої компрометації, відновлення пристроїв наразі є єдиним життєздатним варіантом знищення механізму стійкості зловмисників на пристрої.”
Цей крайній захід підкреслює серйозність злому. Хакери не просто викрадають дані; вони встановлюють постійний доступ, роблячи повне відновлення системи необхідним для забезпечення безпеки.
Чому це важливо
Експлойти нульового дня є однією з найнебезпечніших кіберзагроз, оскільки вони обходять стандартний захист. Такі державні хакерські кампанії, як ця, часто мотивуються шпигунством, крадіжкою інтелектуальної власності або стратегічним саботажем. Той факт, що ці атаки є цілеспрямованими, свідчить про те, що клієнти Cisco в певних галузях або геополітичних регіонах мають пріоритет.
Цей інцидент підкреслює необхідність проактивного аналізу загроз, швидкого реагування на вразливості та надійних планів відновлення інциденту. Це також підкреслює зростаючий ризик атак на ланцюги поставок, коли уразливості в широко використовуваному програмному забезпеченні стають важелем для досвідчених зловмисників.
Відсутність виправлень означає, що організації повинні покладатися на екстремальні заходи для захисту своїх систем. Ця ситуація, ймовірно, залишатиметься нестабільною, доки Cisco не розробить і не поширить виправлення.
