أعلنت شركة Cisco يوم الأربعاء أن المتسللين يستغلون ثغرة أمنية حرجة في بعض منتجاتها الأكثر شيوعًا والتي تسمح بالسيطرة الكاملة على الأجهزة المتضررة. والأسوأ من ذلك أنه لا توجد تصحيحات متاحة في هذا الوقت.
وفي تقرير أمني، قالت شركة Cisco إنها اكتشفت حملة قرصنة في 10 ديسمبر تستهدف برامج Cisco AsyncOS، وعلى وجه الخصوص الأجهزة المادية والافتراضية Cisco Secure Email Gateway، وCisco Secure Email، وWeb Manager. وقال الاستشارة إن الأجهزة المتأثرة بها ميزة تسمى “عزل البريد العشوائي” ممكّنة ويمكن الوصول إليها من الإنترنت.
وأشارت شركة Cisco إلى أن هذه الميزة غير ممكّنة افتراضيًا ولا تحتاج إلى التعرض للإنترنت، وهو ما قد يكون خبرًا جيدًا. صرح مايكل تاغارت، أحد كبار الباحثين في مجال الأمن السيبراني في جامعة كاليفورنيا للعلوم الصحية، لـ TechCrunch أن “متطلبات واجهة الإدارة التي تواجه الإنترنت وتمكين بعض الميزات ستحد من سطح الهجوم لهذه الثغرة الأمنية.”
ومع ذلك، قال كيفن بومونت، الباحث الأمني الذي يتتبع حملات القرصنة، لـ TechCrunch، إن هذه تبدو حملة قرصنة مثيرة للمشاكل بشكل خاص نظرًا لأن الكثير من المؤسسات الكبيرة تستخدم المنتجات المتأثرة، ولا توجد تصحيحات متاحة، ومن غير الواضح كم من الوقت كان لدى المتسللين أبواب خلفية في الأنظمة المتأثرة.
في هذه المرحلة، لا تذكر شركة Cisco عدد العملاء المتأثرين.
عندما اتصلت TechCrunch بالمتحدث باسم Cisco، ميريديث كورلي، لم تجب على سلسلة من الأسئلة، وبدلاً من ذلك قالت إن الشركة “تحقق بنشاط في المشكلة وتطور علاجًا دائمًا”.
اتصل بنا
هل لديك المزيد من المعلومات حول حملة القرصنة هذه؟ مثل ما هي الشركات التي تم استهدافها؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase @lorenzofb، أو البريد الإلكتروني.
الحل الذي تقترحه Cisco للعملاء الآن هو في الأساس مسح برامج المنتجات المتأثرة وإعادة بنائها، حيث لا يتوفر أي تصحيح.
وكتبت الشركة: “في حالة وجود تسوية مؤكدة، فإن إعادة بناء الأجهزة، حاليًا، هو الخيار الوحيد القابل للتطبيق للقضاء على آلية استمرار الجهات الفاعلة في التهديد من الجهاز”.
ويرتبط المتسللون الذين يقفون وراء الحملة بالصين وغيرها من مجموعات القرصنة الحكومية الصينية المعروفة، وفقًا لما ذكره Cisco Talos، فريق أبحاث استخبارات التهديدات التابع للشركة، والذي نشر تدوينة حول حملة القرصنة.
وكتب الباحثون أن المتسللين يستغلون الثغرة الأمنية، والتي هي في هذه المرحلة بمثابة يوم صفر، لتثبيت أبواب خلفية مستمرة، وأن الحملة مستمرة “منذ أواخر نوفمبر 2025 على الأقل”.
