一个由中国政府支持的黑客组织正在利用一个新发现的(零日)安全漏洞,对部分思科(Cisco)客户发起攻击。该漏洞(CVE-2025-20393)主要影响启用了“垃圾邮件隔离”功能且可被互联网访问的思科邮件安全产品。尽管安全机构监测到全球有数百台设备暴露在风险中,但目前的攻击似乎是有针对性的,而非大规模爆发。由于尚无官方补丁,思科建议受影响的用户彻底重置设备以清除潜在威胁。
漏洞的具体情况
这次攻击利用的是一个零日漏洞,代号为 CVE-2025-20393。这意味着在漏洞被发现时,厂商还没有来得及发布修复补丁。
- 受影响产品: 主要包括思科的安全邮件网关(Secure Email Gateway)和安全邮件与网络管理器(Secure Email and Web Manager)。
- 触发条件: 设备只有在同时满足以下两个条件时才会受到影响:
- 系统可以从互联网直接访问。
- 启用了“垃圾邮件隔离”功能。
- 默认设置是安全的: 根据思科的说法,以上两个条件都不是产品的默认设置,这解释了为什么受影响的系统数量相对有限。
谁受到了影响?
尽管此次攻击活动自 2025 年 11 月以来就已开始,但它似乎并未广泛传播。安全研究机构认为,当前的攻击是有针对性的。
- 暴露规模: 非营利组织 Shadowserver 估计,受影响的设备数量在“数百台,而非数千或数万台”的级别。
- 具体数据: 网络安全公司 Censys 观测到大约有 220 个暴露在互联网上的思科邮件网关。
- 主要分布地区: 目前发现的受影响系统主要集中在印度、泰国和美国。
根据思科的威胁情报部门 Talos 的说法,这次黑客活动“至少从 2025 年 11 月下旬”就已经开始。
尚无补丁:唯一的解决方案
目前最大的问题是,针对此漏洞的官方安全补丁尚未发布。因此,简单的系统更新无法解决问题。
思科给出的唯一建议是,如果确认系统已被入侵,必须进行彻底的清理。
“在确认设备被入侵的情况下,重建设备是目前消除威胁行为者在设备上持久化存在的唯一可行方案。”
这意味着受影响的用户需要擦除并恢复设备,才能确保威胁被完全清除。