В среду компания Cisco объявила, что хакеры используют критическую уязвимость нулевого дня в нескольких своих популярных продуктах, что позволяет полностью захватить уязвимые устройства. На данный момент патчей нет. Компания раскрыла хакерскую кампанию в сообщении по безопасности, заявив, что обнаружила эту активность 10 декабря. Атаки нацелены на программное обеспечение Cisco AsyncOS, используемое в физических и виртуальных устройствах, включая Cisco Secure Email Gateway, Cisco Secure Email и Web Manager. На уязвимых устройствах включена функция «Карантин спама», и они доступны из Интернета. В Cisco отметили, что эта функция не включена по умолчанию и не требует доступа в Интернет. Майкл Таггарт, старший исследователь кибербезопасности Калифорнийского университета в Лос-Анджелесе, рассказал TechCrunch, что «требование наличия интерфейса управления с выходом в Интернет и включения определенных функций ограничит поверхность атаки для этой уязвимости». Кевин Бомонт, исследователь безопасности, который отслеживает хакерские кампании, описал ситуацию TechCrunch как особенно проблемную. Он отметил, что многие крупные организации используют затронутые продукты, патчей не существует, а продолжительность существования хакерских бэкдоров в скомпрометированных системах остается неясной. Cisco не раскрыла количество затронутых клиентов. Представитель Cisco Мередит Корли сообщила TechCrunch, что компания «активно исследует проблему и разрабатывает постоянное решение». На дополнительные вопросы она не ответила. В своих рекомендациях Cisco рекомендует стирать и восстанавливать затронутые устройства как единственный текущий вариант удаления механизмов персистентности злоумышленников. В сообщении говорится: «В случае подтвержденного взлома восстановление устройств в настоящее время является единственным реальным вариантом устранения механизма сохранения злоумышленников на устройстве». Cisco Talos, команда компании по анализу угроз, в своем блоге связала хакеров с Китаем и известными правительственными хакерскими группами Китая. Талос сообщил, что злоумышленники используют уязвимость нулевого дня для установки постоянных бэкдоров. Кампания активна как минимум с конца ноября 2025 года.
Source: Cisco сообщает о хакерах, использующих AsyncOS нулевого дня
