Cisco heeft aangekondigd dat hackers die gelinkt zijn aan China misbruik maken van een zero-day-kwetsbaarheid in zijn AsyncOS-software in Cisco Secure Email Gateway-, Cisco Secure Email- en Web Manager-appliances, waardoor volledige apparaatovername mogelijk wordt gemaakt zonder dat er nog patches beschikbaar zijn. Het bedrijf gedetecteerd de hackcampagne op 10 december. Deze campagne richt zich op fysieke en virtuele apparaten waarop Cisco AsyncOS-software draait. Het beveiligingslek treft met name apparaten waarop de Spam Quarantaine-functie ingeschakeld blijft en de apparaten toegankelijk blijven via internet. Cisco benadrukte in zijn beveiligingsadvies dat beheerders Spam Quarantaine niet standaard inschakelen. Het advies verduidelijkte verder dat deze functie geen internetblootstelling vereist voor normale werking. Michael Taggart, senior cybersecurity-onderzoeker bij UCLA Health Sciences, leverde analyses aan TechCrunch. Hij verklaarde: “De vereiste van een op internet gerichte beheerinterface en het inschakelen van bepaalde functies zullen het aanvalsoppervlak voor deze kwetsbaarheid beperken.” De observatie van Taggart benadrukt hoe configuratiekeuzes van beheerders de blootstellingsrisico’s in deze systemen beïnvloeden. Kevin Beaumont, een beveiligingsonderzoeker die hackcampagnes volgt, sprak ook TechCrunch over de implicaties van de campagne. Hij beschreven om verschillende redenen als bijzonder problematisch. Grote organisaties implementeren de getroffen producten op grote schaal in hun netwerken. Er bestaan momenteel geen patches om het probleem op te lossen. De duur van de achterdeuraanwezigheid van de hackers in gecompromitteerde systemen blijft onduidelijk. Cisco heeft geen informatie bekendgemaakt over het aantal getroffen klanten. TechCrunch nam contact op met Cisco-woordvoerder Meredith Corley met een reeks vragen. Corley antwoordde dat het bedrijf “het probleem actief onderzoekt en een permanente oplossing ontwikkelt.” Ze gaf geen verdere details over die onderzoeken. Volgens de huidige richtlijnen van Cisco moeten klanten de software op getroffen apparaten wissen en opnieuw opbouwen. Het beveiligingsadvies legt deze aanpak gedetailleerd uit: “In geval van een bevestigd compromis is het opnieuw opbouwen van de apparaten momenteel de enige haalbare optie om het persistentiemechanisme van de bedreigingsactoren uit het apparaat uit te roeien.” Dit proces verwijdert de gevestigde volharding van de hackers volledig. Cisco Talos, het onderzoeksteam voor bedreigingsinformatie van het bedrijf, heeft de operatie gedetailleerd beschreven in een blogpost. Het bericht schrijft de hackers toe aan China en koppelt ze aan andere bekende hackgroepen van de Chinese overheid. Talos-onderzoekers documenteerden hoe de actoren de zero-day-kwetsbaarheid misbruiken om hardnekkige achterdeurtjes te installeren. Uit bewijsmateriaal blijkt dat de campagne in ieder geval sinds eind november 2025 actief is. De blogpost schetst de technische methoden die worden gebruikt voor de initiële toegang en daaropvolgende persistentie op de gecompromitteerde apparaten.
