Сотні клієнтів Cisco стали вразливими до нової китайської хакерської кампанії
Cisco повідомила, що група хакерів, яких підтримує уряд Китаю, використовує вразливість для атаки на корпоративних клієнтів компанії, які користуються деякими з найпопулярніших продуктів.
Cisco не повідомила, скільки її клієнтів вже постраждали від зламу або можуть використовувати вразливі системи. Наразі дослідники з безпеки стверджують, що сотні клієнтів Cisco потенційно можуть стати жертвами зламу.
Пьотр Кієвський, головний виконавчий директор некомерційної організації Shadowserver Foundation, яка сканує та моніторить інтернет на предмет хакерських кампаній, розповів TechCrunch, що масштаби викриття «здається, сягають скоріше сотень, ніж тисяч чи десятків тисяч».
Кієвський сказав, що фонд не спостерігає широкого поширення активності, ймовірно, тому що «поточні атаки є цілеспрямованими».
Shadowserver має сторінку , де відстежує кількість систем, що піддаються впливу та вразливі до виявленої Cisco вразливості, офіційно названої CVE-2025-20393. Ця вразливість відома як вразливість нульового дня , оскільки її було виявлено до того, як компанія встигла випустити виправлення. На момент публікації статті Індія, Таїланд та Сполучені Штати разом мають десятки уражених систем у своїх межах.
Censys, фірма з кібербезпеки, яка відстежує хакерську діяльність в Інтернеті, також спостерігає за обмеженою кількістю постраждалих клієнтів Cisco. Згідно з публікацією в блозі , Censys виявила 220 шлюзів електронної пошти Cisco, що піддаються доступу до Інтернету, – один із продуктів, відомих як вразливі.
У своєму попередженні щодо безпеки, опублікованому раніше цього тижня, Cisco заявила, що вразливість присутня в програмному забезпеченні, знайденому в кількох продуктах, включаючи Secure Email Gateway та Secure Email and Web Manager.
Cisco заявила, що ці системи вразливі лише тоді, коли до них можна отримати доступ з Інтернету та ввімкнено функцію «карантину спаму». За даними Cisco, жодна з цих двох умов не ввімкнена за замовчуванням, що пояснює, чому в Інтернеті, відносно кажучи, не так багато вразливих систем.
Cisco не відповіла на запит про коментар, запитуючи, чи може компанія підтвердити цифри, отримані Shadowserver та Censys.
Більша проблема цієї хакерської кампанії полягає у відсутності доступних патчів. Cisco рекомендує клієнтам стерти дані та «відновити безпечний стан ураженого пристрою», щоб усунути будь-яке порушення.
«У разі підтвердженої компрометації, відновлення пристроїв наразі є єдиним життєздатним варіантом для усунення механізму стійкості зловмисників у пристрої», – написала компанія у своєму попередженні.
За даними підрозділу Cisco з розвідки загроз Talos, хакерська кампанія триває «принаймні з кінця листопада 2025 року».