Cisco gab bekannt, dass mit China in Verbindung stehende Hacker eine Zero-Day-Schwachstelle in seiner AsyncOS-Software in den Cisco Secure Email Gateway-, Cisco Secure Email- und Web Manager-Appliances ausnutzen und so eine vollständige Geräteübernahme ermöglichen, ohne dass Patches verfügbar sind. Das Unternehmen erkannt die Hacking-Kampagne am 10. Dezember. Diese Kampagne zielt auf physische und virtuelle Geräte ab, auf denen die Cisco AsyncOS-Software ausgeführt wird. Die Schwachstelle betrifft insbesondere Geräte, bei denen die Spam-Quarantänefunktion aktiviert bleibt und die Appliances weiterhin über das Internet zugänglich sind. Cisco betonte in seinem Sicherheitshinweis, dass Administratoren die Spam-Quarantäne nicht standardmäßig aktivieren. In der Empfehlung wurde außerdem klargestellt, dass diese Funktion für den normalen Betrieb keine Internetverbindung erfordert. Michael Taggart, leitender Cybersicherheitsforscher an der UCLA Health Sciences, stellte TechCrunch eine Analyse zur Verfügung. Er erklärte: „Die Anforderung einer mit dem Internet verbundenen Verwaltungsschnittstelle und der Aktivierung bestimmter Funktionen wird die Angriffsfläche für diese Schwachstelle begrenzen.“ Taggarts Beobachtung verdeutlicht, wie Konfigurationsentscheidungen von Administratoren die Gefährdungsrisiken in diesen Systemen beeinflussen. Kevin Beaumont, ein Sicherheitsforscher, der Hacking-Kampagnen verfolgt, sprach ebenfalls mit TechCrunch über die Auswirkungen der Kampagne. Er beschrieben Dies gilt aus mehreren Gründen als besonders problematisch. Große Organisationen setzen die betroffenen Produkte in großem Umfang in ihren Netzwerken ein. Derzeit gibt es keine Patches zur Behebung des Problems. Die Dauer der Hintertürpräsenz der Hacker in kompromittierten Systemen bleibt unklar. Cisco hat keine Angaben zur Anzahl der betroffenen Kunden gemacht. TechCrunch wandte sich mit einer Reihe von Fragen an Cisco-Sprecherin Meredith Corley. Corley antwortete, dass das Unternehmen „das Problem aktiv untersucht und eine dauerhafte Lösung entwickelt“. Sie machte keine weiteren Angaben zu diesen Anfragen. Die aktuellen Leitlinien von Cisco weisen Kunden an, die Software auf den betroffenen Geräten zu löschen und neu zu erstellen. Der Sicherheitshinweis erläutert diesen Ansatz ausführlich: „Im Falle einer bestätigten Kompromittierung ist die Wiederherstellung der Appliances derzeit die einzig praktikable Option, um den Persistenzmechanismus der Bedrohungsakteure von der Appliance zu beseitigen.“ Durch diesen Prozess wird die etablierte Persistenz der Hacker vollständig aufgehoben. Cisco Talos, das Threat-Intelligence-Forschungsteam des Unternehmens, hat den Vorgang detailliert beschrieben Blogbeitrag. Der Beitrag ordnet die Hacker China zu und bringt sie mit anderen bekannten Hackergruppen der chinesischen Regierung in Verbindung. Talos-Forscher dokumentierten, wie die Akteure die Zero-Day-Schwachstelle ausnutzen, um dauerhafte Hintertüren zu installieren. Es gibt Hinweise darauf, dass die Kampagne mindestens seit Ende November 2025 aktiv ist. Der Blogbeitrag beschreibt die technischen Methoden, die für den Erstzugriff und die anschließende Persistenz auf den kompromittierten Geräten verwendet werden.
