Cisco dijo el miércoles que un grupo de piratas informáticos respaldados por el gobierno chino está explotando vulnerabilidades para atacar a clientes empresariales que utilizan sus productos más populares.
Cisco no ha dicho cuántos clientes ya han sido pirateados o pueden estar ejecutando sistemas vulnerables. Los investigadores de seguridad dicen ahora que hay cientos de clientes de Cisco que podrían ser pirateados.
Piotr Kijevsky, director ejecutivo de Shadow Server Foundation, una organización sin fines de lucro que escanea y monitorea Internet en busca de actividades de piratería, dijo a TechCrunch que la escala de la exposición «parece ser de cientos, no de miles o decenas de miles».
Kijewski dijo que la fundación no ve una actividad generalizada, probablemente porque «los ataques actuales están dirigidos a objetivos específicos».
Shadowserver tiene una página que rastrea la cantidad de sistemas vulnerables expuestos a la falla publicada por Cisco (oficialmente llamada CVE-2025-20393). La vulnerabilidad se conoce como día cero porque la falla se descubrió antes de que la compañía lanzara un parche. Al momento de escribir este artículo, hay docenas de sistemas afectados dentro de las fronteras de India, Tailandia y Estados Unidos combinados.
Censys, una empresa de ciberseguridad que monitorea la actividad de piratería en Internet, también cree que el número de clientes de Cisco afectados es limitado. Según una publicación de blog, Censys observó 220 puertas de enlace de correo electrónico de Cisco expuestas a Internet, que se encuentran entre los productos que se sabe que son vulnerables.
consulta
¿Tiene más información sobre esta campaña de piratería, incluidas las empresas a las que se dirigió? Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura desde su dispositivo no laboral en Signal (+1 917 257 1382), en Telegram y Keybase @lorenzofb, o por correo electrónico.
Cisco dijo en un aviso de seguridad publicado a principios de esta semana que la vulnerabilidad existe en el software de múltiples productos, incluido Secure Email Gateway y Secure Email and Web Manager de la compañía.
Cisco dijo que estos sistemas sólo son vulnerables si se puede acceder a ellos desde Internet y tienen habilitada la función «Cuarentena de spam». Según Cisco, ninguna de estas dos condiciones está habilitada de forma predeterminada, por lo que, en términos relativos, no parece haber muchos sistemas vulnerables en Internet.
Cisco no respondió a una solicitud de comentarios preguntando si podía corroborar las cifras vistas para Shadowserver y Censys.
Un problema aún mayor con esta operación de piratería es la falta de parches disponibles. Cisco recomienda que los clientes borren y «restauren el dispositivo afectado a un estado seguro» como una forma de remediar una infracción.
«Si se confirma una infracción, reconstruir el dispositivo es actualmente la única opción viable para erradicar el mecanismo de persistencia del actor de amenazas del dispositivo», dijo la compañía en un aviso.
Según Talos, el brazo de inteligencia de amenazas de Cisco, la campaña de piratería ha estado en curso desde «al menos finales de noviembre de 2025».
Source link
