Cisco виявила, що група хакерів, підтримуваних китайським урядом, використовує вразливість для атаки на підприємства, які користуються популярними продуктами компанії. Ця інформація стала відома після оголошення Cisco, проте компанія не розкрила, скільки її клієнтів вже стали жертвами цієї атаки чи можуть експлуатувати вразливі системи.
Експерти з безпеки зазначають, що потенціально під загрозою можуть опинитися сотні користувачів Cisco. Керівник неприбуткової організації Shadowserver Foundation, яка стежить за кібератаками, заявив, що масштаби вразливості скоріше складають сотні, а не тисячі. В той же час, він відзначив, що наразі не спостерігається значної активності хакерів, оскільки сучасні атаки орієнтуються на конкретні цілі.
Shadowserver веде облік систем, які підпадають під ризик через вразливість, відому як CVE-2025-20393. Це відома у інформаційній безпеці вразливість нульового дня, оскільки вона була виявлена до того, як Cisco встигла випустити виправлення. На момент написання статті країни, як-от Індія, Таїланд і США, уже зафіксували десятки вразливих систем.
Окрім цього, компанія Censys, що займається моніторингом хакерської діяльності, повідомила про 220 мережевих шлюзів Cisco, які також підпадають під цю вразливість. Проте, зазначається, що дані про вразливі системи не є надто широким.
Cisco підкреслила, що вразливість існує в кількох продуктах, зокрема у Secure Email Gateway та Secure Email and Web Manager. Системи можуть бути під загрозою лише, якщо вони доступні з Інтернету і активована функція «карантину спаму», обидві з яких за замовчуванням не включені, що, можливо, пояснює обмежену кількість вразливих систем у всесвітній мережі.
Компанія поки не надала жодних коментарів стосовно підтвердження даних, які оприлюднили Shadowserver та Censys. Найзначнішою проблемою в цій кібератаці є відсутність виправлень. Cisco рекомендує користувачам знищити та відновити вразливі пристрої до безпечного стану, оскільки на даний момент це є єдиною реалістичною опцією для забезпечення безпеки.
Згідно з даними аналітиків з секції загроз Cisco Talos, кампанія несанкціонованого доступу триває щонайменше з кінця листопада 2025 року.
