شرکت سیسکو از شناسایی یک آسیبپذیری روز صفر بحرانی در سامانههای امنیتی ایمیل خود خبر داده که مهاجمان وابسته به دولت چین از آن سوءاستفاده کردهاند. همزمان، موجی از حملات بیسابقه علیه سرویسهای ویپیان این شرکت و همچنین ویپیان شرکت «پالو آلتو» به ثبت رسیده است.
در اطلاعیهای که ۱۷ دسامبر منتشر شد، سیسکو اعلام کرد آسیبپذیری جدیدی به شماره CVE-2025-20393 در نسخههایی از سیستمعامل AsyncOS وجود دارد که در سرویسهای Secure Email Gateway و Web Manager استفاده میشود. این نقص امنیتی زمانی فعال میشود که قابلیت «قرنطینه اسپم» روشن باشد و از طریق اینترنت قابل دسترسی باشد.
در صورت بهرهبرداری موفق، مهاجم میتواند به سطح دسترسی روت در سیستمعامل دست پیدا کرده و دستورات دلخواه خود را اجرا کند. بررسیها نشان میدهد گروه مهاجمی با نام UAT-9686 که متخصصان امنیت سایبری آن را به چین وابسته میدانند، از اواخر نوامبر ۲۰۲۵ این نقص را بهصورت مورد بهرهبرداری قرار داده است.
بدافزارهایی مانند AquaShell ،AquaPurge و AquaTunnel از جمله ابزارهایی هستند که توسط این گروه در دستگاههای آلوده نصب شدهاند. سیسکو هنوز وصلهای برای این آسیبپذیری ارائه نکرده و تنها توصیه کرده که قابلیت قرنطینه اسپم غیرفعال شود.
موج حملات خودکار به ویپیانهای سازمانی
یک روز پس از کشف این آسیبپذیری، بیش از ۱۰ هزار آدرس IP منحصربهفرد (عمدتا در آمریکا، مکزیک و پاکستان) در یک حمله خودکار به سرویس GlobalProtect شرکت پالو آلتو یورش بردند و طی تنها ۱۶ ساعت بیش از ۱.۷ میلیون تلاش برای احراز هویت ثبت شد. روز بعد، این حملات به ویپیانهای سیسکو منتقل شدند و پژوهشگران GreyNoise افزایش ۶ برابری حملات به نقاط پایانی سیسکو را ثبت کردند.
هدف اصلی مهاجمان، نفوذ از طریق رمزهای ضعیف یا قبلا فاششده بوده است. این کارزار کوتاهمدت اما بسیار حجیم، احتمالا برای شناسایی سریع سیستمهای آسیبپذیر پیش از اجرای تغییرات امنیتی طراحی شده بود.
کارشناسان GreyNoise توصیه میکنند سازمانها در کنار نظارت مداوم بر تجهیزات مرزی، استفاده از گذرواژههای قوی و احراز هویت چندمرحلهای را جدی بگیرند؛ اگرچه به گفته کارشناسان، پیچیدگی عملیاتی و نگرانی از اختلال در سرویسدهی، اغلب مانع اجرای فوری این اقدامات میشود.
توضیحات بیشتر: