A Cisco anunciou que hackers ligados à China estão explorando uma vulnerabilidade de dia zero em seu software AsyncOS em dispositivos Cisco Secure Email Gateway, Cisco Secure Email e Web Manager, permitindo o controle total do dispositivo sem patches disponíveis ainda. A empresa detectado a campanha de hackers em 10 de dezembro. Esta campanha tem como alvo dispositivos físicos e virtuais que executam o software Cisco AsyncOS. A vulnerabilidade afeta especificamente dispositivos onde o recurso Quarentena de Spam permanece ativado e os dispositivos permanecem acessíveis pela Internet. A Cisco enfatizou em seu comunicado de segurança que os administradores não habilitam a Quarentena de Spam por padrão. O comunicado esclareceu ainda que esse recurso não requer exposição à Internet para operação normal. Michael Taggart, pesquisador sênior de segurança cibernética da UCLA Health Sciences, forneceu análises ao TechCrunch. Ele afirmou: “o requisito de uma interface de gerenciamento voltada para a Internet e a ativação de certos recursos limitarão a superfície de ataque para esta vulnerabilidade”. A observação de Taggart destaca como as escolhas de configuração dos administradores influenciam os riscos de exposição nesses sistemas. Kevin Beaumont, pesquisador de segurança que rastreia campanhas de hackers, também conversou com TechCrunch sobre as implicações da campanha. Ele descrito considera-o particularmente problemático por diversas razões. As grandes organizações implantam extensivamente os produtos afetados em suas redes. Não existem patches para resolver o problema no momento. A duração da presença de backdoor dos hackers em sistemas comprometidos permanece incerta. A Cisco não divulgou informações sobre o número de clientes afetados. O TechCrunch entrou em contato com a porta-voz da Cisco, Meredith Corley, com uma série de perguntas. Corley respondeu que a empresa “está investigando ativamente o problema e desenvolvendo uma solução permanente”. Ela não ofereceu mais detalhes sobre essas investigações. A orientação atual da Cisco orienta os clientes a limpar e reconstruir o software nos dispositivos afetados. O comunicado de segurança explica esta abordagem em detalhes: “Em caso de comprometimento confirmado, a reconstrução dos dispositivos é, atualmente, a única opção viável para erradicar o mecanismo de persistência dos agentes de ameaça do dispositivo”. Este processo remove totalmente a persistência estabelecida dos hackers. Cisco Talos, equipe de pesquisa de inteligência de ameaças da empresa, detalhou a operação em um postagem no blog. A postagem atribui os hackers à China e os conecta a outros grupos de hackers conhecidos do governo chinês. Os pesquisadores do Talos documentaram como os atores exploram a vulnerabilidade de dia zero para instalar backdoors persistentes. As evidências mostram que a campanha está ativa pelo menos desde o final de novembro de 2025. A postagem do blog descreve os métodos técnicos usados para acesso inicial e subsequente persistência nos dispositivos comprometidos.
