Cisco kinnitas kolmapäeval, et häkkerite rühm kasutab aktiivselt ära kriitilist haavatavust mõnes ettevõtte populaarseimas turvatootes. See viga võimaldab ründajatel saada täieliku kontrolli mõjutatud seadmete üle ning olukorda raskendab praegu saadaoleva turvapaiga puudumine.
Võtmepunktid
Nullpäeva haavatavust kasutatakse aktiivselt ära. Ühtegi parandust pole saadaval ja Cisco soovitab ainult kahjustatud süsteemide nullist ülesehitamist, et ründaja püsivus kõrvaldada.
Haavatavuse ja mõjutatud toodete üksikasjad
Ettevõtte avaldatud turvahoiatuse kohaselt avastati häkkimiskampaania 10. detsembril ja see on suunatud konkreetselt Cisco AsyncOS tarkvarale. Haavatavate toodete hulka kuuluvad nii füüsilised kui ka virtuaalsed seadmed. Cisco turvaline e-posti lüüs y Cisco turvaline e-posti ja veebihaldur.
Seda haavatavust saab ära kasutada seadmetes, mis vastavad kahele tingimusele: neil on lubatud funktsioon „Spam Quarantine” ja need on internetist ligipääsetavad. Cisco on märkinud, et see funktsioon pole vaikimisi lubatud ega nõua tingimata avaliku võrguga ühenduse loomist, mis võib rünnaku ulatust piirata. Michael Taggart, UCLA Health Sciencesi küberturvalisuse vanemteadur, kommenteeris, et „internetiühendusega haldusliidese ja teatud lubatud funktsioonide nõue piirab selle haavatavuse rünnakupinda”.
Põhikontseptsioon: nullpäeva haavatavus
"Nullpäeva" haavatavus (või null-päevNullpäeva haavatavus on tarkvara turvaauk, mis on tootjale või laiemale avalikkusele teadmata. Mõiste "nullpäeva" viitab asjaolule, et arendajal on null päeva aega selle parandamiseks enne, kui ründajad seda ära kasutavad, kuna haavatavus avalikustatakse hetkel, kui rünnak avastatakse.
Häkkimiskampaaniate jälgimise poolest tuntud turvauurija Kevin Beaumont hoiatas aga, et olukord on eriti problemaatiline. Paljusid mõjutatud tooteid kasutavad suured organisatsioonid ning paranduse puudumine koos ebakindlusega selle kohta, kui kaua ründajatel on süsteemidele juurdepääs olnud, suurendab riskitaset. Cisco ei ole veel mõjutatud klientide arvu avaldanud.
Cisco omistamine ja reageerimine
Cisco ohuluure meeskond Talos on ründajad seostanud Hiina ja teiste teadaolevate Hiina valitsuse toetatud häkkerirühmitustega. Talose teadlased avaldasid üksikasjaliku analüüsi, mis näitab, et häkkerid kasutavad nullpäeva haavatavust, et paigaldada ohustatud süsteemidele püsivaid tagauksi. Kampaania on kestnud "vähemalt 2025. aasta novembri lõpust".
Juhtumi peamine kronoloogia
| 2025. aasta novembri lõpus | Ründajate aktiivse ärakasutamise kampaania algus. |
| 10. detsembril 2025 | Cisco avastab häkkimiskampaania, mis on suunatud tema toodetele. |
| 17. detsembril 2025 | Ettevõte annab välja avaliku julgeoleku hoiatuse nullpäeva haavatavuse kohta. |
Püsiva lahenduse puudumisel on Cisco soovitus oma klientidele drastiline. Ettevõtte pressiesindaja Meredith Corley ütles, et nad "uurivad aktiivselt probleemi ja töötavad välja püsivat lahendust". Samal ajal on ametlik juhis selge: "Kinnitatud kompromiteerimise korral on seadmete taastamine praegu ainus elujõuline võimalus ohu tekitajate püsivusmehhanismi seadmest kõrvaldamiseks." See hõlmab tarkvara täielikku kustutamist ja uuesti installimist mõjutatud toodetel.
Profiil: Cisco Systems, Inc.
Cisco on Ameerika rahvusvaheline tehnoloogiakonglomeraat, mis arendab, toodab ja müüb võrguriistvara, tarkvara, telekommunikatsiooniseadmeid ja muid kõrgtehnoloogilisi tooteid ja teenuseid. See on ülemaailmse internetiinfrastruktuuri ja ettevõtete võrkude nurgakivi.
- peakorter: San Jose, California, USA
- Sihtasutus: Detsembris 1984 Leonard Bosacki ja Sandy Lerneri poolt.
- Peamised investorid (avalikud): Vanguardi grupp, BlackRock, State Street Corporation.
- Võrk: Külasta ametlikku veebisaiti
- Sotsiaalsed võrgustikud: LinkedIn, X (Twitter)
