Cisco ha confermato che gli hacker sponsorizzati dallo stato cinese stanno sfruttando attivamente una vulnerabilità critica e senza patch nei suoi prodotti di sicurezza ampiamente utilizzati. La falla colpisce le apparecchiature Cisco Secure Email Gateway, Cisco Secure Email e Web Manager, consentendo potenzialmente agli aggressori il pieno controllo sui dispositivi compromessi.
Dettagli sulla vulnerabilità critica
La vulnerabilità risiede nella funzionalità “Spam Quarantine” del software Cisco AsyncOS. Sebbene non siano abilitate per impostazione predefinita, le istanze esposte raggiungibili da Internet sono a rischio immediato. Cisco ha scoperto la campagna di sfruttamento il 10 dicembre, ma non è disponibile alcuna patch immediata, lasciando le organizzazioni a cercare strategie di mitigazione.
L’attuale raccomandazione dell’azienda è estrema: ricostruzione completa degli apparecchi interessati. Questo perché gli aggressori probabilmente hanno già creato backdoor persistenti che non possono essere rimosse tramite patch convenzionali.
Perché è importante
Si tratta di una minaccia di elevata gravità per diversi motivi:
- Ampia distribuzione: i prodotti Cisco per la sicurezza della posta elettronica sono ampiamente utilizzati dalle grandi organizzazioni, rendendo significativa la potenziale superficie di attacco.
- Attori sponsorizzati dallo Stato: Cisco Talos, il braccio di intelligence sulle minacce dell’azienda, collega la campagna a gruppi di hacker sostenuti dal governo cinese. Ciò suggerisce uno sforzo mirato piuttosto che un crimine opportunistico.
- Zero-Day Exploit: l’assenza di una patch significa che anche le organizzazioni con solide pratiche di sicurezza sono vulnerabili finché il difetto non viene risolto.
Opzioni di mitigazione limitate
Anche se la funzione Quarantena dello spam non è abilitata per impostazione predefinita e non necessita di essere esposta a Internet, Cisco ammette che i sistemi interessati sono già compromessi.
Ricercatori di sicurezza come Michael Taggart della UCLA Health Sciences notano che la superficie di attacco è in qualche modo limitata dalla necessità di un’interfaccia di gestione collegata a Internet. Tuttavia, Kevin Beaumont, un rispettato ricercatore di sicurezza informatica, avverte che la mancanza di patch e la potenziale persistenza a lungo termine rendono questa campagna particolarmente pericolosa.
Risposta di Cisco
Cisco non ha ancora rivelato il numero dei clienti interessati. Quando è stato pressato per i dettagli, un portavoce dell’azienda ha rifiutato di rispondere alle domande e ha invece dichiarato che stanno “indagando attivamente” e “sviluppando una soluzione permanente”.
Questa è una situazione in via di sviluppo che richiede attenzione immediata da parte dei clienti Cisco. La mancanza di una patch impone un’azione drastica: ricostruire i sistemi compromessi è l’unica soluzione praticabile in questo momento.
Il fatto che dietro questa campagna ci siano hacker sponsorizzati dallo stato cinese suggerisce che le infrastrutture critiche e i dati sensibili sono a rischio. Le organizzazioni devono agire rapidamente per valutare la propria esposizione e implementare le misure di mitigazione consigliate.
