思科宣布,与中国有关的黑客正在跨思科安全电子邮件网关、思科安全电子邮件和网络管理器设备利用其 AsyncOS 软件中的零日漏洞,在尚未提供补丁的情况下实现全面设备接管。公司 检测到 12 月 10 日的黑客活动。该活动针对运行 Cisco AsyncOS 软件的物理和虚拟设备。该漏洞特别影响垃圾邮件隔离功能保持启用且仍可通过互联网访问的设备。思科在其安全公告中强调,管理员默认情况下不会启用垃圾邮件隔离区。该通报进一步澄清,该功能不需要互联网即可正常运行。加州大学洛杉矶分校健康科学部高级网络安全研究员 Michael Taggart 向 TechCrunch 提供了分析。他表示,“面向互联网的管理界面和启用某些功能的要求将限制此漏洞的攻击面。” Taggart 的观察强调了管理员的配置选择如何影响这些系统中的暴露风险。跟踪黑客活动的安全研究员凯文·博蒙特 (Kevin Beaumont) 也接受了采访 TechCrunch 关于该活动的影响。他 描述的 由于多种原因,它尤其成问题。大型组织在其网络中广泛部署受影响的产品。目前没有补丁可以解决该问题。黑客在受感染系统中存在后门的持续时间仍不清楚。思科没有透露有关受影响客户数量的信息。 TechCrunch 联系了思科发言人 Meredith Corley,提出了一系列问题。科利回应称,该公司“正在积极调查该问题并制定永久性补救措施”。她没有提供有关这些询问的更多细节。思科当前的指南指导客户擦除并重建受影响设备上的软件。安全公告详细解释了这种方法:“在确认受到损害的情况下,重建设备是目前从设备中消除威胁行为者持久机制的唯一可行选择。”此过程完全消除了黑客已建立的持久性。该公司的威胁情报研究团队思科 Talos 在一份报告中详细介绍了此次操作 博客文章。该帖子将黑客归咎于中国,并将他们与其他已知的中国政府黑客组织联系起来。 Talos 研究人员记录了攻击者如何利用零日漏洞安装持久后门。证据显示该活动至少自 2025 年 11 月下旬起就开始活跃。该博客文章概述了用于初始访问以及随后在受感染设备上进行持久化的技术方法。
