کمپین هک چینی و هدف قرار دادن سیسکو!

یک نقص امنیتی تازه در محصولات ایمیلی سیسکو، حالا به نقطه اتکای یک کمپین هک منتسب به چین تبدیل شده؛ کمپینی که به گفته پژوهشگران امنیتی، هرچند «گسترده» نیست، اما می‌تواند صدها سازمان را هدف بگیرد—خصوصاً آن‌هایی که سامانه‌هایشان از اینترنت قابل دسترس است.

سیسکو این هفته اعلام کرد گروهی از هکرهای مورد حمایت دولت چین در حال سوءاستفاده از یک آسیب‌پذیری برای حمله به مشتریان سازمانی است؛ مشتریانی که از برخی محصولات پرکاربرد این شرکت استفاده می‌کنند. نکته نگران‌کننده اینجاست که سیسکو هنوز عدد دقیقی از سازمان‌های هک‌شده یا تعداد سیستم‌های آسیب‌پذیر ارائه نکرده است.

ابعاد تهدید: «صدها» هدف بالقوه، نه ده‌ها هزار

پیوتر کی‌یفسکی، مدیرعامل بنیاد غیرانتفاعی Shadowserver که اینترنت را برای شناسایی و پایش کمپین‌های هک اسکن می‌کند، گفته میزان مواجهه با این رخداد «بیشتر در حد صدها مورد است تا هزاران یا ده‌ها هزار». از نگاه او دلیل اصلی هم روشن است: حملات فعلاً هدفمند انجام می‌شوند و نشانه‌ای از فعالیت گسترده و کور دیده نمی‌شود.

Shadowserver صفحه‌ای برای رصد تعداد سیستم‌هایی دارد که در برابر نقص اعلام‌شده توسط سیسکو آسیب‌پذیر هستند؛ نقصی که با شناسه رسمی CVE-2025-20393 شناخته می‌شود. این آسیب‌پذیری از نوع Zero-Day توصیف شده؛ یعنی قبل از آن‌که وصله‌ای در دسترس باشد، شناسایی و در عمل مورد سوءاستفاده قرار گرفته است. طبق داده‌های رصدشده تا زمان انتشار گزارش، کشورهایی مثل هند، تایلند و ایالات متحده مجموعاً ده‌ها سیستم آسیب‌دیده در مرزهای خود دارند.

از سوی دیگر، شرکت امنیت سایبری Censys هم می‌گوید تعداد موارد قابل مشاهده محدود است. بر اساس پست وبلاگ این شرکت، Censys حدود ۲۲۰ درگاه ایمیل سیسکو را شناسایی کرده که در اینترنت در معرض دید بوده‌اند؛ محصولی که در فهرست موارد آسیب‌پذیر قرار دارد.

چه سیستم‌هایی در معرض خطرند؟ یک شرط مهم (در واقع دو شرط)

سیسکو در هشدار امنیتی خود توضیح داده این آسیب‌پذیری در نرم‌افزار مورد استفاده چند محصول وجود دارد؛ از جمله Secure Email Gateway و Secure Email and Web Manager.

اما همه نصب‌ها لزوماً آسیب‌پذیر نیستند. به گفته سیسکو، سیستم‌ها تنها زمانی در خطر قرار می‌گیرند که:

• از اینترنت قابل دسترس باشند؛ و
• قابلیت Spam Quarantine (قرنطینه اسپم) روی آن‌ها فعال باشد.

سیسکو می‌گوید هیچ‌کدام از این دو مورد به‌صورت پیش‌فرض فعال نیستند؛ موضوعی که می‌تواند توضیح دهد چرا با وجود حساسیت ماجرا، تعداد سیستم‌های آسیب‌پذیر روی اینترنت «نسبتاً» بالا نیست. با این حال برای سازمان‌هایی که این تنظیمات را (مثلاً برای تسهیل مدیریت ایمیل‌های مشکوک) فعال کرده‌اند، ریسک کاملاً واقعی است.

مشکل اصلی: هنوز وصله‌ای وجود ندارد

شاید نگران‌کننده‌ترین بخش ماجرا این باشد که فعلاً پچ رسمی برای رفع نقص منتشر نشده است. سیسکو به مشتریان توصیه کرده در صورت مشاهده نشانه‌های نفوذ، دستگاه یا Appliance آسیب‌دیده را پاک‌سازی کرده و «به وضعیت امن بازگردانند».

در متن هشدار سیسکو آمده است: «در صورت تأیید نفوذ، بازسازی Applianceها در حال حاضر تنها گزینه عملی برای حذف سازوکار ماندگاری (Persistence) مهاجمان از دستگاه است.» یعنی اگر نفوذ قطعی باشد، صرف تغییر تنظیمات یا اقدامات سطحی ممکن است کافی نباشد و سازمان ناچار به بازسازی کامل سامانه شود.

به گفته بازوی اطلاعات تهدید سیسکو، یعنی Talos، این کمپین هک از «حداقل اواخر نوامبر ۲۰۲۵» فعال بوده است. پرسش اینجاست: چند سازمان هنوز نمی‌دانند در معرض خطرند، چون سیستمشان بی‌سروصدا روی اینترنت باز مانده است؟