A Cisco emitiu um alerta sobre uma vulnerabilidade crítica em seus produtos que está sendo ativamente explorada em ataques. Essa falha, classificada como zero-day, permite que atacantes obtenham acesso root em dispositivos Secure Email com a funcionalidade Spam Quarantine exposta na internet.

De acordo com um aviso de segurança, a Cisco tomou conhecimento de uma nova campanha de ciberataques em 10 de dezembro. O ataque visa dispositivos que utilizam o software Cisco AsyncOS para o Cisco Secure Email Gateway e o Cisco Secure Email and Web Manager.

A falha afeta tanto instâncias físicas quanto virtuais desses dispositivos, mas somente quando configuradas com a funcionalidade Spam Quarantine e expostas à internet. Embora essa funcionalidade não esteja ativada por padrão, todas as versões do Cisco AsyncOS estão vulneráveis a esta campanha.

Pesquisadores suspeitam que um ator de ameaça patrocinado pelo estado chinês esteja por trás desses ataques. Os invasores estão utilizando essa vulnerabilidade para executar comandos arbitrários com privilégios de root no sistema operacional, assumindo o controle dos dispositivos comprometidos.

A Cisco não revelou quantas empresas foram alvo ou quantas foram realmente comprometidas. Contudo, como não há um patch disponível no momento, a empresa recomenda que os usuários tomem medidas específicas, incluindo "restaurar o dispositivo para uma configuração segura". Isso implica em apagar e reconstruir o software do zero.

Aqueles que não conseguem realizar a limpeza dos dispositivos devem entrar em contato com o TAC para verificar se seus produtos foram comprometidos. Se receberem confirmação, “a reconstrução dos dispositivos é atualmente a única opção viável para erradicar o mecanismo de persistência dos invasores”.