Ciscoは、広く導入されている同社製品に存在する重大な脆弱性が、すでに脅威アクターによって悪用されていると警告した。この脆弱性は影響を受けるシステムの完全な乗っ取りを可能にするもので、開示時点ではパッチが提供されていなかった。同社は12月10日に当該キャンペーンを検知したと報告しており、攻撃はCisco AsyncOS—具体的にはCisco Secure Email Gateway、Cisco Secure Email、およびWeb Managerの物理/仮想の両デプロイメント—を標的としているという。
Ciscoによれば、最もリスクが高いのは、Spam Quarantine(スパム隔離)機能が有効で、かつインターネットに公開されているデバイスだという。同社は、Spam Quarantineは既定で無効であり、公開インターネットへのアクセスを必要としない点を強調しており、これにより実際に脆弱なインストール数は大幅に減る可能性がある。UCLAヘルスサイエンスの研究者Michael Taggartは、インターネットから到達可能な管理インターフェースが必要であることに加え、特定機能が有効であることが条件となるため、この脆弱性の攻撃対象領域は狭まると指摘した。
しかしセキュリティ研究者のKevin Beaumontは、この状況を特に憂慮すべきものだと述べた。影響を受ける製品は大企業で広く利用されている一方、現時点でパッチは提供されておらず、攻撃者が侵害環境にどれほど長くバックドアを維持してきたのかも不明だという。Ciscoは影響を受けた顧客数を明らかにしていない。TechCrunchからの問い合わせに対し、同社広報のMeredith Corleyは詳細な質問への回答を控え、Ciscoが本件を積極的に調査しており、恒久的な是正措置を開発中であると述べるにとどめた。
パッチがない中で、Ciscoの現行ガイダンスは、影響を受けた製品のソフトウェアスタックを実質的に完全消去し、再構築することに等しい。同社は、侵害が確認された場合、現時点で攻撃者の永続化を除去する実行可能な方法はデバイスの再構築のみであると明言した。Cisco Talosによれば、このキャンペーンは中国および他の既知の中国の国家支援系グループに関連しており、攻撃者はゼロデイ脆弱性を利用して持続性の高いバックドアを展開している。Talosの研究者は、このキャンペーンが少なくとも2025年11月下旬以降継続していると報告している。
