Clientes Cisco em Alerta: Ataque de Hackers Chineses Explora Nova Vulnerabilidade
A Cisco confirmou que um grupo de hackers patrocinados pelo governo chinês está explorando ativamente uma grave falha em alguns de seus produtos mais populares, mirando clientes corporativos. A descoberta dessa vulnerabilidade Cisco acende um sinal de alerta para empresas em todo o mundo, que dependem da infraestrutura da gigante de tecnologia.
Embora a Cisco não tenha detalhado a quantidade exata de clientes já comprometidos ou com sistemas vulneráveis, pesquisadores de segurança indicam que centenas de organizações podem estar em risco. Esta situação exige atenção imediata e medidas preventivas para mitigar potenciais impactos.
Escopo da Ameaça e Monitoramento Ativo
Piotr Kijewski, CEO da Shadowserver Foundation, organização sem fins lucrativos que monitora campanhas de hacking, revelou que a escala de exposição parece estar na casa das centenas, e não milhares ou dezenas de milhares. Isso sugere que os ataques atuais são altamente direcionados, focando em alvos específicos dentro do universo de clientes da Cisco.
A Shadowserver mantém uma página dedicada ao rastreamento de sistemas expostos à falha divulgada pela Cisco, oficialmente identificada como CVE-2025-20393. Além disso, a Censys, outra empresa de cibersegurança, observou 220 gateways de e-mail Cisco expostos à internet, corroborando a natureza limitada, mas séria, da ameaça.
CVE-2025-20393: Uma Vulnerabilidade Zero-Day
A falha em questão é classificada como um ataque zero-day, o que significa que foi descoberta e explorada por cibercriminosos antes que a Cisco tivesse tempo de desenvolver e liberar patches de segurança. Isso coloca as organizações em uma posição extremamente vulnerável, sem defesas imediatas disponíveis. No momento, Índia, Tailândia e Estados Unidos são as nações com dezenas de sistemas afetados identificados dentro de suas fronteiras.
Produtos Afetados e Condições para Exploração
A vulnerabilidade Cisco foi encontrada em softwares de diversos produtos da empresa, incluindo o Secure Email Gateway e o Secure Email and Web Manager. No entanto, a exploração desses sistemas depende de duas condições específicas: eles devem estar acessíveis pela internet e ter o recurso de “quarentena de spam” ativado.
Segundo a Cisco, nenhuma dessas condições é habilitada por padrão. Esse detalhe explica por que o número de sistemas vulneráveis na internet é relativamente menor do que se poderia esperar de uma vulnerabilidade em produtos tão amplamente utilizados. Contudo, a necessidade de ter essas configurações específicas não diminui a criticidade da ameaça para quem as possui ativas.
Desafios na Mitigação e Recomendações
Um dos maiores desafios desta campanha de hacking é a ausência de patches de segurança imediatos. Diante disso, a Cisco recomenda que seus clientes afetados limpem e “restaurem um appliance comprometido a um estado seguro”. Esta é, atualmente, a única opção viável para erradicar os mecanismos de persistência dos invasores nos dispositivos.
A inteligência de ameaças da Cisco, a Talos, informou que a campanha de hacking está em andamento desde, pelo menos, o final de novembro de 2025. Essa linha do tempo sublinha a natureza persistente e sofisticada dos ataques, exigindo que as organizações permaneçam vigilantes e sigam rigorosamente as orientações da Cisco para proteger suas infraestruturas.
Sou entusiasta de Tecnologia, Gamer, Blogueiro e Editor do Portal do Pixel.
