思科周三宣布,黑客正在利用其几款热门产品中的一个严重的零日漏洞,从而能够完全接管受影响的设备。目前没有可用的补丁。
该公司在一份安全公告中披露了此次黑客活动,称其于 12 月 10 日发现了该活动。这些攻击针对物理和虚拟设备中使用的 Cisco AsyncOS 软件,包括思科安全电子邮件网关、思科安全电子邮件和 Web 管理器。易受攻击的设备启用了“垃圾邮件隔离”功能,并且可以通过互联网进行访问。思科指出,该功能默认情况下未启用,并且不需要暴露在互联网上。
加州大学洛杉矶分校健康科学部的高级网络安全研究员 Michael Taggart 告诉 TechCrunch,“面向互联网的管理界面和启用某些功能的要求将限制此漏洞的攻击面。”
跟踪黑客活动的安全研究员凯文·博蒙特 (Kevin Beaumont) 向 TechCrunch 描述,这种情况尤其有问题。他指出,许多大型组织都使用受影响的产品,不存在任何补丁,而且黑客后门在受感染系统中的持续时间仍不清楚。思科尚未透露受影响客户的数量。
思科发言人梅雷迪思·科利 (Meredith Corley) 告诉 TechCrunch,该公司“正在积极调查该问题并制定永久性补救措施”。她没有回答其他问题。在该通报中,思科建议擦除和重建受影响的设备,作为当前消除威胁行为者持久机制的唯一选择。该建议指出:“如果确认受到损害,重建设备是目前从设备中消除威胁行为者持久机制的唯一可行选择。”
该公司的威胁情报团队思科 Talos 在一篇博文中将黑客与中国以及已知的中国政府黑客组织联系起来。 Talos 报告称,攻击者正在利用零日漏洞安装持久后门。该活动至少自 2025 年 11 月下旬以来一直活跃。
