Cisco ilmoittaa hakkereista, jotka käyttävät hyväkseen AsyncOS:n nollapäivää

Cisco ilmoitti keskiviikkona, että hakkerit hyödyntävät kriittistä nollapäivän haavoittuvuutta useissa sen suosituissa tuotteissa, mikä mahdollistaa kyseisten laitteiden täyden haltuunsa. Korjauksia ei ole tällä hetkellä saatavilla. Yritys paljasti hakkerointikampanjan tietoturvatiedotteessa ja ilmoitti havainneensa toiminnan 10. joulukuuta. Hyökkäykset kohdistuvat fyysisissä ja virtuaalisissa laitteissa käytettävään Cisco AsyncOS -ohjelmistoon, mukaan lukien Cisco Secure Email Gateway, Cisco Secure Email ja Web Manager. Haavoittuvissa laitteissa on ”Spam Quarantine” -ominaisuus käytössä, ja ne ovat käytettävissä Internetistä. Cisco huomautti, että tämä ominaisuus ei ole oletuksena käytössä, eikä se vaadi Internet-altistusta. Michael Taggart, UCLA Health Sciencesin vanhempi kyberturvatutkija, kertoi TechCrunchille, että ”vaatimus Internetiin päin olevan hallintaliittymän ja tiettyjen ominaisuuksien käyttöönotosta rajoittaa tämän haavoittuvuuden hyökkäyspintaa”. Hakkerointikampanjoita seuraava tietoturvatutkija Kevin Beaumont kuvaili tilannetta TechCrunchille erityisen ongelmalliseksi. Hän huomautti, että monet suuret organisaatiot käyttävät kyseisiä tuotteita, korjaustiedostoja ei ole olemassa ja hakkerien takaovien kesto vaarantuneissa järjestelmissä on edelleen epäselvä. Cisco ei ole paljastanut vaikutusten kohteena olevien asiakkaiden määrää. Ciscon tiedottaja Meredith Corley kertoi TechCrunchille, että yritys ”tutkii aktiivisesti ongelmaa ja kehittää pysyvää korjausta”. Hän ei vastannut lisäkysymyksiin. Neuvonnassa Cisco suosittelee ongelmallisten laitteiden pyyhkimistä ja uudelleen rakentamista ainoana nykyisenä vaihtoehtona uhkatoimijoiden pysyvyysmekanismien poistamiseksi. Ohjeessa todetaan: ”Jos varmistettu kompromissi, laitteiden uudelleenrakentaminen on tällä hetkellä ainoa toteuttamiskelpoinen vaihtoehto uhkatekijöiden pysyvyysmekanismin poistamiseksi laitteesta.” Yrityksen uhkatiedustelutiimi Cisco Talos linkitti hakkerit Kiinaan ja tunnettuihin Kiinan hallituksen hakkerointiryhmiin blogikirjoituksessa. Talos kertoi, että näyttelijät käyttävät nollapäivän haavoittuvuutta pysyvien takaovien asentamiseen. Kampanja on ollut aktiivinen ainakin marraskuun 2025 lopusta lähtien.

Source: Cisco ilmoittaa hakkereista, jotka käyttävät hyväkseen AsyncOS:n nollapäivää