Na quarta-feira, a Cisco revelou o seguinte: Grupo de hackers apoiado pelo governo chinês está explorando vulnerabilidades Visar clientes corporativos que usam os produtos mais populares da empresa.
A Cisco não informou quantos clientes já foram hackeados ou podem estar executando sistemas vulneráveis. Pesquisadores de segurança dizem agora que existem centenas de clientes da Cisco que podem ser hackeados.
Piotr Kijevsky, CEO da Shadow Server Foundation, uma organização sem fins lucrativos que verifica e monitora a Internet em busca de atividades de hackers, disse ao TechCrunch que a escala da exposição “parece estar na casa das centenas, não milhares ou dezenas de milhares”.
Kijewski disse que a fundação não vê atividade generalizada, provavelmente porque “os ataques atuais são direcionados”.
O servidor shadow tem páginas Lá, rastreamos a quantidade de sistemas expostos e vulneráveis à falha publicada pela Cisco, oficialmente denominada CVE-2025-20393. Esta vulnerabilidade é conhecida como: dia zeroIsso porque a falha foi descoberta antes de a empresa lançar um patch. No momento em que este artigo foi escrito, havia dezenas de sistemas afetados dentro das fronteiras da Índia, da Tailândia e dos Estados Unidos juntas.
A Censys, uma empresa de segurança cibernética que monitoriza atividades de hackers na Internet, também acredita que o número de clientes da Cisco afetados é limitado. De acordo com a postagem do blogA Censys observou 220 gateways de e-mail da Cisco expostos à Internet, um dos produtos conhecidos por ser vulnerável.
investigação
Você tem mais informações sobre esta campanha de hackers, incluindo quais empresas foram visadas? Você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança a partir de qualquer dispositivo que não seja de trabalho no Signal (+1 917 257 1382) ou via Telegram e Keybase @lorenzofb. e-mail.
em um comunicado de segurança A Cisco disse em um documento divulgado no início desta semana que a vulnerabilidade existe no software de vários de seus produtos, incluindo o Secure Email Gateway e o Secure Email and Web Manager.
A Cisco disse que esses sistemas só são vulneráveis se forem acessíveis pela Internet e tiverem o recurso “Quarentena de Spam” ativado. De acordo com a Cisco, nenhuma destas duas condições está habilitada por padrão, razão pela qual, relativamente falando, não parece haver muitos sistemas vulneráveis na Internet.
A Cisco não respondeu a um pedido de comentário perguntando se poderia corroborar os números vistos para Shadowserver e Censys.
Um problema ainda maior com esta operação de hacking é a falta de patches disponíveis. A Cisco recomenda que os clientes limpem e “restaurem o dispositivo afetado para um estado seguro” como forma de remediar uma violação.
“Se uma violação for confirmada, reconstruir o dispositivo é atualmente a única opção viável para erradicar o mecanismo de persistência do agente da ameaça do dispositivo”, disse a empresa em um comunicado.
De acordo com Talos, braço de inteligência de ameaças da Cisco, a campanha de hackers está em andamento desde “pelo menos o final de novembro de 2025”.
