В среду компания Cisco сообщила, что группа хакеров, поддерживаемых китайским правительством, использует уязвимость для атак на своих корпоративных клиентов, использующих некоторые из самых популярных продуктов компании.
Компания Cisco не сообщила, сколько её клиентов уже подверглись взлому или используют уязвимые системы. Однако исследователи в области безопасности утверждают, что сотни клиентов Cisco потенциально могут стать жертвами хакерских атак.
Пётр Евский, исполнительный директор некоммерческой организации Shadowserver Foundation, которая сканирует и отслеживает интернет на предмет хакерских атак, заявил TechCrunch, что масштабы угроз «скорее исчисляются сотнями, а не тысячами или десятками тысяч».
Евски заявил, что фонд не наблюдает широкомасштабной активности, предположительно потому, что «текущие атаки носят целенаправленный характер».
На сайте Shadowserver отслеживается количество систем, уязвимых к обнаруженной компанией Cisco уязвимости, официально обозначенной как CVE-2025-20393. Эта уязвимость известна как уязвимость нулевого дня, поскольку она была обнаружена до того, как компания успела выпустить исправления. На момент публикации статьи в Индии, Таиланде и США в общей сложности насчитывалось несколько десятков затронутых систем.
Компания Censys, специализирующаяся на кибербезопасности и отслеживающая хакерские атаки в интернете, также зафиксировала ограниченное число пострадавших клиентов Cisco. Согласно сообщению в блоге, Censys обнаружила 220 почтовых шлюзов Cisco, находящихся в открытом доступе через интернет, — это один из продуктов, известных своей уязвимостью.
Связаться с нами
У вас есть дополнительная информация об этой хакерской кампании? Например, какие компании стали мишенью? С любого устройства, кроме рабочего, вы можете безопасно связаться с Лоренцо Франчески-Биккьераи через Signal по номеру +1 917 257 1382, или через Telegram и Keybase @lorenzofb, или по электронной почте.
В своем уведомлении о безопасности, опубликованном ранее на этой неделе, компания Cisco сообщила, что уязвимость присутствует в программном обеспечении, используемом в нескольких продуктах, включая Secure Email Gateway и Secure Email and Web Manager.
Компания Cisco заявила, что эти системы уязвимы только в том случае, если они доступны из интернета и у них включена функция «карантина спама». По данным Cisco, ни одно из этих двух условий не включено по умолчанию, что объясняет, почему, по-видимому, в интернете не так много уязвимых систем.
Компания Cisco не ответила на запрос о комментарии, в котором спрашивалось, может ли она подтвердить данные, полученные Shadowserver и Censys.
Главная проблема этой хакерской кампании заключается в отсутствии доступных исправлений. Cisco рекомендует клиентам стереть данные с поврежденного устройства и «восстановить его до безопасного состояния» в качестве способа устранения последствий взлома.
«В случае подтвержденного взлома в настоящее время единственным жизнеспособным вариантом для устранения механизма закрепления злоумышленников на устройстве является его переустановка», — говорится в сообщении компании.
По данным подразделения Cisco, занимающегося анализом угроз, Talos, хакерская кампания продолжается как минимум с конца ноября 2025 года.
Источник: techcrunch.com
