Cisco ha pubblicato un avviso di sicurezza, confermando che “vari hacker criminali dalla Cina stanno sfruttando una vulnerabilità zer-day critica, presente in alcuni dei suoi prodotti più diffusi“.

Mercoledì Cisco ha annunciato che alcuni hacker criminali stanno sfruttando una vulnerabilità zero-day presente in alcuni dei suoi prodotti più diffusi. “La falla consente il controllo completo dei dispositivi compromessi e l’aspetto più preoccupante è che al momento non esiste alcuna patch per risolvere il problema“.

In un avviso di sicurezza, ha spiegato di aver individuato – il 10 dicembre – una campagna di attacchi informatici mirata al software Cisco AsyncOS. “In particolare agli appliance fisici e virtuali Cisco Secure Email Gateway, Cisco Secure Email e Web Manager“.

Secondo la multinazionale statunitense specializzata nella fornitura di apparati di networking, i dispositivi colpiti hanno in comune l’attivazione della funzione Spam Quarantine e l’esposizione diretta a Internet. Le indagini in corso hanno messo nel mirino l’attivismo di gruppi hacker criminali legati alla Cina.

“Non ci sono patch correttive“

Cisco ha sottolineato che questa funzionalità non è attiva di default e non dovrebbe essere accessibile dalla rete pubblica. Tale elemento potrebbe ridurre il numero di sistemi vulnerabili.

Nonostante ciò, la situazione sarebbe comunque critica. Molte grandi organizzazioni utilizzano questi prodotti, non esistono patch correttive e non è chiaro da quanto tempo gli hacker abbiano inserito backdoor nei sistemi compromessi.

Al momento Cisco non ha fornito dati ufficiali sul numero di clienti colpiti. Contattata da TechCrunch, la portavoce dell’azienda Meredith Corley non ha risposto alle domande specifiche. Si è limitata a spiegare che l’azienda “sta indagando attivamente sul problema e sta sviluppando una soluzione definitiva”.

Come tutelarsi?

Nel frattempo, ai clienti è arrivato il suggerimento di cancellare il software degli appliance compromessi, poiché non esiste ancora un aggiornamento di sicurezza. “In caso di compromissione confermata, la ricostruzione degli appliance è attualmente l’unica opzione per eliminare i meccanismi di persistenza degli attori malevoli”, ha scritto Cisco.

Poi, ha aggiunto: “In caso di compromissione confermata, la ricostruzione dei dispositivi è, attualmente, l’unica opzione praticabile. Solo così si potrà eliminare il meccanismo di persistenza degli autori della minaccia dal dispositivo”.

I sospetti sulla Cina

Secondo Cisco Talos, il gruppo di analisti delle minacce informatiche dell’azienda, “gli hacker dietro la campagna sono collegati alla Cina e ai suoi apparati governativi“.

I ricercatori hanno scritto che gli hacker stanno sfruttando la vulnerabilità per installare backdoor persistenti. La campagna è in corso “almeno dalla fine di novembre 2025”.

