A Cisco confirmou que hackers patrocinados pelo Estado chinês estão explorando ativamente uma vulnerabilidade crítica e não corrigida em seus produtos de segurança amplamente utilizados. A falha afeta os dispositivos Cisco Secure Email Gateway, Cisco Secure Email e Web Manager, permitindo potencialmente aos invasores controle total sobre os dispositivos comprometidos.
Detalhes de vulnerabilidade crítica
A vulnerabilidade reside no recurso “Quarentena de Spam” do software Cisco AsyncOS. Embora não estejam habilitadas por padrão, as instâncias expostas acessíveis pela Internet correm risco imediato. A Cisco descobriu a campanha de exploração em 10 de dezembro, mas nenhuma correção imediata está disponível, deixando as organizações lutando por estratégias de mitigação.
A recomendação atual da empresa é extrema: reconstrução completa dos dispositivos afetados. Isso ocorre porque os invasores provavelmente já estabeleceram backdoors persistentes que não podem ser removidos por meio de patches convencionais.
Por que isso é importante
Esta é uma ameaça de alta gravidade por vários motivos:
- Ampla implantação: os produtos de segurança de e-mail da Cisco são muito usados por grandes organizações, tornando significativa a superfície de ataque potencial.
- Atores patrocinados pelo Estado: Cisco Talos, o braço de inteligência de ameaças da empresa, vincula a campanha a grupos de hackers apoiados pelo governo chinês. Isto sugere um esforço direccionado em vez de um crime oportunista.
- Exploração de dia zero: A ausência de um patch significa que mesmo as organizações com fortes práticas de segurança ficam vulneráveis até que a falha seja resolvida.
Opções de mitigação limitadas
Embora o recurso Quarentena de Spam não esteja habilitado por padrão e não precise ser exposto à Internet, a Cisco admite que os sistemas afetados já estão comprometidos.
Pesquisadores de segurança como Michael Taggart, da UCLA Health Sciences, observam que a superfície de ataque é um tanto limitada pela necessidade de uma interface de gerenciamento voltada para a Internet. No entanto, Kevin Beaumont, um respeitado investigador de segurança cibernética, alerta que a falta de patches e o potencial de persistência a longo prazo tornam esta campanha particularmente perigosa.
Resposta da Cisco
A Cisco ainda não divulgou o número de clientes afetados. Quando pressionado para fornecer detalhes, um porta-voz da empresa recusou-se a responder às perguntas e, em vez disso, afirmou que estão “investigando ativamente” e “desenvolvendo uma solução permanente”.
Esta é uma situação em desenvolvimento que exige atenção imediata dos clientes da Cisco. A falta de um patch obriga a uma acção drástica: reconstruir sistemas comprometidos é a única solução viável neste momento.
O facto de hackers patrocinados pelo Estado Chinês estarem por detrás desta campanha sugere que infra-estruturas críticas e dados sensíveis estão em risco. As organizações devem agir rapidamente para avaliar a sua exposição e implementar as medidas de mitigação recomendadas.
