Ciscoは水曜日、人気のCiscoメール管理ツールに存在する脆弱性が11月下旬以降、中国のハッカーによって悪用されていると発表した。
Ciscoはこの欠陥について顧客に警告した。これはCVE-2025-20393で、同社はアドバイザリで、この脆弱性の最大深刻度スコアが10であり、インターネットに対して特定のポートが開放され、同社のSecure Email GatewayおよびSecure Email and Web Manager向けAsyncOS Softwareを実行しているアプライアンスに影響すると記した。
これらの製品は、複数のCiscoメールデバイスにまたがる管理・レポート機能を一元的に扱うためのインターフェースをチームに提供し、ユーザーがポリシー管理、デバイス管理、セキュリティ強化、スパムメッセージの隔離を行えるようにする。
Ciscoによると、12月10日に「限られた一部のアプライアンス」が標的にされているのを確認し、この侵入キャンペーンを把握したという。Ciscoが継続中の調査で明らかにしたところでは、ハッカーは侵害したデバイスへのアクセスを維持するためにさまざまなツールを使用している。
同社は、セキュリティ部門による関連ブログを公開し、このキャンペーンを中国の脅威グループによるものだと帰属させた。評価は、攻撃で使用されたツールとインフラに基づくという。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CVE-2025-20393が悪用されていることを確認し、すべての連邦政府民生機関に対し、12月24日までに緩和策を適用するよう命じた。
Ciscoは、現時点でこの欠陥のパッチはないとしつつ、顧客が自衛するために取れる行動の一覧を提示した。
問題は、顧客が手動で有効化する必要があるスパム防止機能に関するものだ。この機能がインターネットに公開され到達可能な状態にある場合、Cisco Secure Email Gatewayの物理・仮想の両インスタンスに加え、Web Managerアプライアンスもリスクにさらされる。
Ciscoは、インターネットに公開されていたデバイスを安全な構成に復旧するための詳細な手順を示した。それが不可能な場合、顧客はCiscoに連絡し、自身のアプライアンスが侵害されていないか確認すべきだという。
「侵害が確認された場合、現時点では、脅威アクターの永続化メカニズムをアプライアンスから根絶するための現実的な選択肢は、アプライアンスを再構築することだけです」とCiscoは説明した。
「さらに、Ciscoは、アプライアンスへのアクセスを制限し、ポートが安全でないネットワークに公開されないよう、強固なアクセス制御メカニズムを実装することを強く推奨します。」
同社はまた、メールおよびWebマネージャーのアプライアンスはファイアウォールのような機器の背後に配置すべきだと付け加えた。
Ciscoは攻撃をUAT-9686と呼ぶ中国の脅威アクターによるものだとし、同グループがAquaShellと呼ばれる永続化ツールを用いてアクセスを維持し、その他の行動も行ったと述べた。
同社は、このグループがUNC5174およびAPT41(中国の国家支援を受けたサイバーグループの中でも最も活動が活発なものの一つ)と技術的な重なりがあると述べた。メンバーは2020年、世界中の100以上の組織への侵入で米国により起訴された。
FBIは、スパイ活動、ランサムウェアの展開、ソフトウェア・サプライチェーン攻撃にまたがるサイバー侵入の疑いで、張浩然(Zhang Haoran)と譚岱林(Tan Dailin)を含む、同グループに関連する中国国籍者5人に対する逮捕状を発行している。
同じグループは、東南アジアの政府機関を標的とした侵入や、台湾における侵入とも関連付けられている。
以前の記事はありません
新しい記事はありません
翻訳元: https://therecord.media/chinese-attackers-zero-day
