Na quarta-feira, a Cisco revelou que um grupo de hackers apoiados pelo governo chinês está explorando uma vulnerabilidade para atingir seus clientes empresariais que usam alguns dos produtos mais populares da empresa.
A Cisco não informou quantos de seus clientes já foram hackeados ou podem estar executando sistemas vulneráveis. Agora, pesquisadores de segurança dizem que há centenas de clientes da Cisco que poderiam ser hackeados.
Piotr Kijewski, executivo-chefe da organização sem fins lucrativos Shadowserver Foundation, que verifica e monitora a Internet em busca de campanhas de hackers, disse ao TechCrunch que a escala de exposição “parece mais na casa das centenas do que em milhares ou dezenas de milhares”.
Kijewski disse que a fundação não estava vendo atividade generalizada, provavelmente porque “os ataques atuais são direcionados”.
Shadowserver possui uma página onde rastreia a quantidade de sistemas expostos e vulneráveis à falha divulgada pela Cisco, nomeada oficialmente como CVE-2025-20393. A vulnerabilidade é conhecida como dia zero, porque a falha foi descoberta antes que a empresa tivesse tempo de disponibilizar os patches. Até o momento desta publicação, a Índia, a Tailândia e os Estados Unidos tinham coletivamente dezenas de sistemas afetados dentro de suas fronteiras.
A Censys, uma empresa de segurança cibernética que monitora atividades de hackers na Internet, também vê um número limitado de clientes da Cisco afetados. De acordo com uma postagem no blog, a Censys observou 220 gateways de e-mail da Cisco expostos à Internet, um dos produtos conhecidos por serem vulneráveis.
Contate-nos
Você tem mais informações sobre esta campanha de hackers? Por exemplo, quais empresas foram visadas? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail.
Em seu comunicado de segurança publicado no início desta semana, a Cisco disse que a vulnerabilidade está presente em software encontrado em vários produtos, incluindo o Secure Email Gateway e o Secure Email and Web Manager.
A Cisco disse que esses sistemas só são vulneráveis se forem acessíveis pela Internet e tiverem o recurso de “quarentena de spam” ativado. Nenhuma dessas duas condições é habilitada por padrão, de acordo com a Cisco, o que explicaria por que parece não haver, relativamente falando, tantos sistemas vulneráveis na Internet.
A Cisco não respondeu a um pedido de comentário, perguntando se a empresa poderia corroborar os números vistos pela Shadowserver e Censys.
O maior problema desta campanha de hackers é que não há patches disponíveis. A Cisco recomenda que os clientes limpem e “restaurem um dispositivo afetado para um estado seguro”, como forma de remediar qualquer violação.
“Em caso de comprometimento confirmado, a reconstrução dos dispositivos é, atualmente, a única opção viável para erradicar o mecanismo de persistência dos agentes de ameaça do dispositivo”, escreveu a empresa em seu comunicado.
De acordo com Talos, braço de inteligência de ameaças da Cisco, a campanha de hackers está em andamento desde “pelo menos o final de novembro de 2025”.
