Firma Cisco ogłosiła, że hakerzy powiązani z Chinami wykorzystują lukę dnia zerowego w oprogramowaniu AsyncOS w urządzeniach Cisco Secure Email Gateway, Cisco Secure Email i Web Manager, umożliwiając pełne przejęcie urządzenia bez jeszcze dostępnych poprawek. Firma wykryty kampania hakerska z 10 grudnia. Celem tej kampanii są urządzenia fizyczne i wirtualne z oprogramowaniem Cisco AsyncOS. Luka dotyczy w szczególności urządzeń, na których funkcja Kwarantanny spamu pozostaje włączona i urządzenia te są dostępne z Internetu. Firma Cisco podkreśliła w swoim poradniku dotyczącym bezpieczeństwa, że administratorzy domyślnie nie włączają Kwarantanny spamu. W poradniku wyjaśniono dalej, że do normalnego działania ta funkcja nie wymaga dostępu do Internetu. Michael Taggart, starszy badacz cyberbezpieczeństwa w UCLA Health Sciences, przedstawił analizę TechCrunch. Stwierdził, że „wymóg korzystania z internetowego interfejsu zarządzania i włączenia niektórych funkcji ograniczy powierzchnię ataku w przypadku tej luki”. Obserwacje Taggarta podkreślają, w jaki sposób wybory konfiguracyjne dokonywane przez administratorów wpływają na ryzyko narażenia w tych systemach. Rozmawiał także Kevin Beaumont, badacz bezpieczeństwa, który śledzi kampanie hakerskie TechCrunch o konsekwencjach kampanii. On opisane jest to szczególnie problematyczne z kilku powodów. Duże organizacje szeroko wdrażają produkty, których dotyczy problem, w swoich sieciach. Obecnie nie ma żadnych poprawek rozwiązujących ten problem. Niejasny pozostaje czas obecności tylnych drzwi hakerów w zaatakowanych systemach. Cisco nie ujawniło żadnych informacji na temat liczby klientów, których dotyczy problem. TechCrunch skontaktował się z rzeczniczką Cisco Meredith Corley z serią pytań. Corley odpowiedział, że firma „aktywnie bada problem i opracowuje trwałe rozwiązanie”. Nie podała żadnych dalszych szczegółów dotyczących tych dochodzeń. Aktualne wytyczne Cisco zalecają klientom wyczyszczenie i odbudowanie oprogramowania na urządzeniach, których dotyczy problem. W poradniku bezpieczeństwa szczegółowo wyjaśniono to podejście: „W przypadku potwierdzonego naruszenia bezpieczeństwa odbudowa urządzeń jest obecnie jedyną realną opcją wyeliminowania mechanizmu utrzymywania się aktorów zagrażających z urządzenia”. Ten proces całkowicie usuwa ustaloną trwałość hakerów. Cisco Talos, zespół badawczy firmy zajmujący się analizą zagrożeń, szczegółowo opisał operację w pliku: wpis na blogu. W poście przypisano hakerów Chinom i połączono ich z innymi znanymi grupami hakerskimi chińskiego rządu. Badacze z Talos udokumentowali, w jaki sposób przestępcy wykorzystują lukę dnia zerowego do instalowania trwałych backdoorów. Dowody wskazują, że kampania była aktywna co najmniej od końca listopada 2025 r. W poście na blogu opisano metody techniczne stosowane w celu uzyskania pierwszego dostępu i późniejszego utrzymywania się na zainfekowanych urządzeniach.
