Na quarta-feira, a Cisco anunciou que hackers estão explorando uma vulnerabilidade crítica em alguns de seus produtos mais populares que permite o controle total dos dispositivos afetados. Pior ainda, não há patches disponíveis no momento.
Em um comunicado de segurança, a Cisco disse que descobriu uma campanha de hackers em 10 de dezembro visando o software Cisco AsyncOS e, em particular, os dispositivos físicos e virtuais Cisco Secure Email Gateway, Cisco Secure Email e Web Manager. O comunicado disse que os dispositivos afetados têm um recurso chamado “Quarentena de Spam” habilitado e podem ser acessados pela Internet.
A Cisco observou que esse recurso não vem habilitado por padrão e não precisa ser exposto à internet, o que pode ser uma boa notícia. Michael Taggart, pesquisador sênior de segurança cibernética da UCLA Health Sciences, disse ao TechCrunch que “a exigência de uma interface de gerenciamento voltada para a Internet e a ativação de certos recursos limitarão a superfície de ataque para esta vulnerabilidade”.
No entanto, Kevin Beaumont, pesquisador de segurança que rastreia campanhas de hackers, disse ao TechCrunch que esta parece ser uma campanha de hackers particularmente problemática, já que muitas grandes organizações usam os produtos afetados, não há patches disponíveis e não está claro por quanto tempo os hackers tiveram backdoors nos sistemas afetados.
Neste momento, a Cisco não informa quantos clientes serão afetados.
Quando contatado pelo TechCrunch, o porta-voz da Cisco, Meredith Corley, não respondeu a uma série de perguntas e, em vez disso, disse que a empresa “está investigando ativamente o problema e desenvolvendo uma solução permanente”.
Contate-nos
Você tem mais informações sobre esta campanha de hackers? Por exemplo, quais empresas foram visadas? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail.
A solução que a Cisco está sugerindo aos clientes neste momento é essencialmente limpar e reconstruir o software dos produtos afetados, já que não há patch disponível.
“Em caso de comprometimento confirmado, a reconstrução dos dispositivos é, atualmente, a única opção viável para erradicar o mecanismo de persistência dos agentes de ameaça do dispositivo”, escreveu a empresa.
Os hackers por trás da campanha estão ligados à China e a outros grupos de hackers conhecidos do governo chinês, de acordo com Cisco Talos, a equipe de pesquisa de inteligência de ameaças da empresa, que publicou uma postagem no blog sobre a campanha de hackers.
Os pesquisadores escreveram que os hackers estão aproveitando a vulnerabilidade, que neste momento é de dia zero, para instalar backdoors persistentes, e que a campanha está em andamento “pelo menos desde o final de novembro de 2025”.
