- تؤكد Cisco وجود يوم الصفر (CVE-2025-20393) في أجهزة البريد الإلكتروني الآمن التي تستغلها الجهات الفاعلة المرتبطة بالصين
- استخدم المهاجمون أبوابًا خلفية من Aquashell وأدوات حفر الأنفاق وأدوات مساعدة لمسح السجلات من أجل الاستمرارية
- أضافت CISA عيبًا إلى KEV؛ يجب على الوكالات معالجة/إيقاف الاستخدام بحلول 24 ديسمبر/كانون الأول
قامت إحدى الجهات الفاعلة في مجال التهديد التابع للصين بإساءة استخدام ثغرة اليوم صفر في العديد من أجهزة البريد الإلكتروني التابعة لشركة Cisco للوصول إلى النظام الأساسي وتحقيق الاستمرارية.
وأكدت شركة Cisco الأخبار في منشور مدونة واستشارات أمنية، وحثت المستخدمين على تطبيق التوصيات المقدمة وتقوية شبكاتهم.
قالت Cisco في إعلانها إنها رصدت النشاط لأول مرة في 10 ديسمبر، وقررت أنه بدأ على الأقل في أواخر نوفمبر 2025. في الحملة، أساء ممثل التهديد الذي تم تتبعه باسم UAT-9686 خطأ في برنامج Cisco AsyncOS لـ Cisco Secure Email Gateway وCisco Secure Email and Web Manager، لتنفيذ أوامر على مستوى النظام ونشر باب خلفي مستمر قائم على Python يسمى Aquashell.
مجموعتان
يتم الآن تتبع الثغرة الأمنية باسم CVE-2025-20393 وتم منحها درجة خطورة 10/10 (حرجة).
وشوهدت المجموعة أيضًا وهي تنشر إزميل AquaTunnel (نفق SSH العكسي) (أداة أخرى للنفق)، وAquaPurge (أداة مساعدة لمسح السجلات).
ونظرًا للأدوات والبنية التحتية المستخدمة، تعتقد شركة Cisco أن الهجمات يتم تنفيذها من قبل مجموعتين على الأقل – يتم تتبعهما باسم APT41 وUNC5174. كلاهما نشط للغاية وخطير للغاية – إساءة استخدام الخدمات السحابية المشروعة، واختراق الشبكات الافتراضية الخاصة، وجدران الحماية، وغيرها من الأدوات، مع الانخراط في المقام الأول في التجسس عبر الإنترنت.
وفي الوقت نفسه، أضافتها وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى قائمة نقاط الضعف المستغلة المعروفة (KEV)، مما يؤكد إساءة الاستخدام على أرض الواقع. أمام وكالات السلطة التنفيذية المدنية الفيدرالية مهلة حتى 24 ديسمبر لتطبيق الإصلاحات المقدمة أو التوقف عن استخدام المنتجات المعرضة للخطر بالكامل.
وقالت شركة Cisco في الاستشارة إنه يجب على العملاء استعادة الأجهزة المعرضة للإنترنت إلى تكوين آمن. إذا تم منعهم من القيام بذلك، فيجب عليهم التواصل مع Cisco لمعرفة ما إذا كانوا قد تعرضوا للاختراق أم لا.
وقالت شركة Cisco: “في حالة وجود تسوية مؤكدة، فإن إعادة بناء الأجهزة، حاليًا، هي الخيار الوحيد القابل للتطبيق للقضاء على آلية استمرار الجهات الفاعلة في التهديد من الجهاز”. “بالإضافة إلى ذلك، توصي Cisco بشدة بتقييد الوصول إلى الجهاز وتنفيذ آليات قوية للتحكم في الوصول لضمان عدم تعرض المنافذ لشبكات غير آمنة.”
عبر السجل
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات