シスコは、同社の一部の人気製品に存在する重大な脆弱性を中国のハッカーが悪用していると発表しました。この脆弱性により、影響を受けたデバイスの完全な制御が可能になるということです。現時点で修正パッチは提供されていないとしています。
シスコは12月10日に、Cisco AsyncOSソフトウェアをターゲットにしたハッキングキャンペーンを発見したと発表しました。特に、Cisco Secure Email Gateway、Cisco Secure Email、Web Managerの物理および仮想アプライアンスが狙われているということです。影響を受けたデバイスは「スパム隔離」という機能が有効になっており、インターネットからアクセス可能な状態にあるとしています。
シスコは、この機能はデフォルトで有効にはなっておらず、インターネットに公開する必要もないと説明しています。これは好材料である可能性もあるということです。UCLAヘルスサイエンスの上級サイバーセキュリティ研究者であるマイケル・タガート氏は、「インターネットに面した管理インターフェースと特定の機能が有効であることが、脆弱性の攻撃対象を限定するだろう」と述べています。
しかし、ハッキングキャンペーンを追跡するセキュリティ研究者のケビン・ボーモント氏は、「多くの大規模組織が影響を受けた製品を使用しており、修正パッチがなく、ハッカーがどのくらいの期間システムにバックドアを設置していたか不明であるため、特に問題のあるハッキングキャンペーンのようだ」と述べています。
現時点で、シスコは影響を受けた顧客数を明らかにしていません。TechCrunchの取材に対し、シスコの広報担当者であるメレディス・コーリー氏は一連の質問に答えず、「問題を積極的に調査し、恒久的な解決策を開発中です」と述べました。
シスコが現在顧客に提案している解決策は、影響を受けた製品のソフトウェアを消去し再構築することです。修正パッチが提供されていないためです。
「確認された侵害がある場合、アプライアンスを再構築することが、現時点で脅威者の持続的なメカニズムをアプライアンスから排除する唯一の実行可能な方法です」とシスコは述べています。
このキャンペーンの背後にいるハッカーは、中国および他の既知の中国政府のハッカーグループに関連していると、シスコの脅威インテリジェンス研究チームであるシスコタロスが発表したブログ記事で述べています。研究者たちは、この脆弱性を利用して持続的なバックドアをインストールしていると書いており、キャンペーンは「少なくとも2025年11月末から続いている」としています。