در روز چهارشنبه، شرکت سیسکو اعلام کرد که گروهی از هکرهای حمایتشده توسط دولت چین در حال سوءاستفاده از یک آسیبپذیری جهت هدف قرار دادن مشتریان سازمانی هستند که از برخی از پرکاربردترین محصولات این شرکت استفاده میکنند.
سیسکو اعلام نکرده است که چه تعداد از مشتریانش تاکنون هک شدهاند یا ممکن است سیستمهایی آسیبپذیر را اجرا کنند. اکنون پژوهشگران امنیتی میگویند صدها مشتری سیسکو در معرض خطر احتمالی هک شدن قرار دارند.
پیوتر کیوزوسکی، مدیر اجرایی بنیاد غیرانتفاعی Shadowserver که اینترنت را برای شناسایی کمپینهای هک مورد بررسی قرار میدهد، به خبرنگار گفت که میزان در معرض بودن سیستمها “به نظر میرسد در حد صدها باشد، نه هزاران یا دهها هزار.”
کیوزوسکی اشاره کرد که فعالیت گستردهای مشاهده نمیشود، احتمالاً به این دلیل که “حملات فعلی هدفمند هستند.”
Shadowserver صفحهای دارد که در آن تعداد سیستمهای آسیبپذیر و در معرض خطر به دلیل نقص افشا شده توسط سیسکو با عنوان رسمی CVE-2025-20393 را رصد میکند. این آسیبپذیری به عنوان «روز صفر» شناخته میشود، زیرا نقص پیش از آماده شدن وصله شناسایی شده است. تا زمان نگارش این گزارش (۲۹ آذر ۱۴۰۴)، کشورهایی چون هند، تایلند و ایالات متحده روی هم دارای چندین سیستم آسیبدیده در مرزهای خود هستند.
شرکت امنیت سایبری Censys نیز که فعالیتهای هکری را در سراسر اینترنت رصد میکند، تعداد محدودی از مشتریان سیسکو را آسیبدیده گزارش داده است. بنا بر یک پست وبلاگی، Censys موفق به مشاهده ۲۲۰ دروازه ایمیل سیسکو شده که در معرض اینترنت و آسیبپذیر هستند و این محصول به عنوان یکی از محصولات آسیبپذیر شناخته شده است.
در یادداشت امنیتی منتشرشده در همین هفته، سیسکو اعلام کرد که آسیبپذیری مذکور در نرمافزار تعدادی از محصولات از جمله Secure Email Gateway و Secure Email and Web Manager وجود دارد.
سیسکو اعلام کرد این سیستمها تنها زمانی آسیبپذیر هستند که از اینترنت قابل دسترسی باشند و قابلیت “قرنطینه هرزنامه” در آنها فعال باشد. به گفته سیسکو، هیچیک از این دو شرط به طور پیشفرض فعال نیست، که میتواند توضیح دهد چرا نسبتاً تعداد سیستمهای آسیبپذیر روی اینترنت زیاد نیست.
سیسکو به درخواست خبرنگار برای اظهار نظر درباره اینکه آیا این شرکت میتواند اعداد مطرحشده توسط Shadowserver و Censys را تایید کند، پاسخی نداده است.
بزرگترین مشکل این کمپین هکری آن است که هیچ وصله یا پچ امنیتی فعلاً در دسترس نیست. سیسکو به مشتریان توصیه میکند دستگاه آسیبدیده را پاک کرده و “به حالت امن بازگردانند” تا هرگونه نفود احتمالی را رفع کنند.
این شرکت در اطلاعیه خود نوشته است: “در صورت تایید نفوذ، بازسازی کامل دستگاه در حال حاضر تنها گزینه عملی برای حذف کامل مکانیسمهای ماندگاری مهاجمان از دستگاه است.”
به گفته واحد اطلاعات تهدید سیسکو، Talos، این کمپین هک حداقل از اواخر آبان ۱۴۰۴ در جریان است.
