האקרים מסין תקפו בסייבר לקוחות רבים של סיסקו

קבוצת האקרים הפועלים בגיבוי ממשלת סין ניצלו פגיעות במערכות סיסקו (Cisco), ותקפו – לכל הפחות מאות, ואולי אלפי או עשרות אלפי – לקוחות ארגוניים שלה, העושים שימוש בכמה מהמוצרים הפופולריים של החברה.

ענקית התקשורת וה-IT – שהייתה מי שחשפה את המתקפה בשבוע שעבר – לא ציינה כמה מלקוחותיה כבר נפרצו, או כמה מהם מפעילים מערכות שהן פגיעות. לפי מומחי אבטחה, מאות לקוחות של סיסקו עלולים להיפרץ. הפגיעות סווגה כ-CVE-2025-20393, והיחס אליה הוא כאל פגיעות "יום אפס", כיוון שהיא התגלתה בטרם החברה הספיקה להוציא עדכונים זמינים. החוקרים מייחסים את הפעילות לשחקן האיום המתמשך והעקבי (APT) הסיני UAT-9686.

Cisco Talos has disclosed vulnerabilities in Libbiosig, Grassroot DiCoM (zero-days), and Smallstep step-ca: https://t.co/nX4HnAyqH8 pic.twitter.com/5FsoIom14Z

— Cisco Talos Intelligence Group (@TalosSecurity) December 18, 2025

לפי טאלוס (Talos) – זרוע המחקר ומודיעין האיומים של סיסקו – מסע הפריצה "נמשך, לכל הפחות, מאז סוף נובמבר 2025".

לפי סיסקו, הפגיעות קיימת בתוכנה שנמצאת בכמה ממוצרי החברה, כולל בשער הדוא"ל המאובטח (Secure Email Gateway) ובמנהל הדוא"ל והאינטרנט המאובטח (Secure Email and Web Manager) שלה. שני מוצרים אלה רצים על מערכת ההפעלה AsyncOS. סיסקו אמרה כי הפגיעות מופיעה הן במוצרים הפיזיים והן באלה הוירטואליים. לפי החברה, כל הגרסאות של תוכנת Cisco AsyncOS מושפעות מפגיעות זו. מוצרים נפוצים אחרים, Cisco Secure Email Cloud ומשפחת מוצרי Cisco Secure Web – לא מושפעים מהפגיעות. המערכות הופכות לפגיעות, מסרה סיסקו, רק אם הן נגישות לאינטרנט, ויש להן אפשרות להפעלת "בידוד ספאם". שני התנאים הללו אינם פועלים כברירת מחדל, לפי החברה, מה שמסביר את מיעוט הפגיעות.

למרות שהפגיעות דורשת תיקון מועד – אין בנמצא עדכונים זמינים

ברמה הטכנית, הסבירו מומחי אבטחה, "הפגיעות נגרמת מאימות קלט לא תקין, שמאפשר לתוקפים לבצע פקודות שרירותיות עם הרשאות ברמת שורש במערכת ההפעלה הבסיסית. רמת גישה זו מסירה את רוב מערך האבטחה במכשיר. תוקף יכול לשנות קבצי מערכת, להתקין כלים נוספים ולשהות אצל מערכות הקורבן למשך זמן רב".

מומחים העריכו כי "הכלים ודפוסי הפעולה שנצפו במתקפה – חופפים לאלו של קבוצות איום סיניות ידועות אחרות. חלק מהכלים ששימשו בהתקפות שנקשרו בעבר לשחקניות איום כמו APT41 ו-UNC5174. ההתמקדות בפתרונות אבטחת דואר אלקטרוני וניהול מתיישבת עם מגמה רחבה יותר, של מיקוד במערכות היקפיות, המספקות ניראות עמוקה לסביבות הארגון הקורבן". אז התוקפים מחדירים דלת אחורית, ביניהן AquaShell, דלת אחורית קלה, מבוססת פייתון המוטמעת בקובץ יישום ווב קיים.

מומחים ציינו כי "הבעיה הגדולה יותר במסע הפריצה הזה בסייבר, היא שאין עדכונים זמינים". סיסקו המליצה ללקוחות "למחוק ולשחזר כל מכשיר אשר עלול להיות מושפע – למצב מאובטח". אלא שהמומחים העירו כי עצה זו נכונה תמיד, לכל אירוע. "במקרה של פריצה מאומתת, שיקום המכשירים הוא, כרגע, האפשרות היחידה לחיסול מנגנון ההתמדה של שחקני האיום מהמכשיר", כתבה סיסקו.

We have identified 120 Cisco Secure Email Gateway/ Cisco Secure Email and Web Manager likely vulnerable to CVE-2025-20393 (over 650 fingerprinted exposed). CVE-2025-20393 is exploited in the wild, with no patch available. Follow Cisco recommendations at https://t.co/0mB8XKuXBO pic.twitter.com/RKORDZbJT8

— The Shadowserver Foundation (@Shadowserver) December 20, 2025

עמותת שדוסרבר (Shadowserver), שסורקת ומנטרת את האינטרנט בחיפוש קמפיינים של פריצה, העריכה כי "היקף החשיפה יסתכם במאות ארגונים ולא אלפים או עשרות אלפים". סנסיס (Censys), חברת אבטחת סייבר שעוקבת אחר פריצות באינטרנט, זיהתה 220 שערי דואר אלקטרוני של סיסקו החשופים לאינטרנט. הסוכנות לאבטחת סייבר ותשתיות של ארה"ב, CISA, הוסיפה את הפגיעות לקטלוג הפגיעויות המנוצלות הידועות (KEV) שלה. משמעות ההכנסה לקטלוג היא שהפגיעות משמשת למתקפות בעולם האמיתי וככזו, היא דורשת תיקון מועדף.