思科产品漏洞与黑客攻击事件 - 思科披露其企业客户正遭受一个中国政府支持的黑客组织攻击 该组织利用一个漏洞攻击使用思科多款热门产品的客户[1] - 受影响的思科产品包括安全电子邮件网关和安全电子邮件及网络管理器[5] - 系统仅在可从互联网访问且启用了“垃圾邮件隔离”功能时才会受到攻击 这两个条件默认均未启用[6] 漏洞影响范围与特征 - 安全研究人员表示可能有数百名思科客户面临潜在攻击风险[1] - 非营利组织Shadowserver Foundation首席执行官评估暴露规模“似乎在数百级别 而非数千或数万级别”[2] - 网络安全公司Censys观察到220个暴露在互联网上的、易受攻击的思科电子邮件网关[3] - 该漏洞被正式命名为CVE-2025-20393 属于零日漏洞[2] - 截至发稿时 印度、泰国和美国境内共有数十个受影响的系统[2] - 攻击活动似乎是针对性的 未观察到广泛的活动[2] 攻击活动时间线与现状 - 根据思科威胁情报部门Talos 该黑客攻击活动至少自2025年11月下旬以来一直在持续[8] - 目前尚无针对该漏洞的补丁可用[7] - 思科建议受影响的客户擦除设备并“将受影响的设备恢复到安全状态”以修复漏洞[7] - 对于已确认被入侵的情况 重建设备是目前消除攻击者持久化机制的唯一可行方案[7]

事件概述 - 思科于12月10日发现黑客正在利用其多款热门产品中的一个关键漏洞 该漏洞允许攻击者完全控制受影响的设备 且目前尚无补丁可用 [1][2] 受影响产品与漏洞特征 - 攻击活动针对运行思科AsyncOS软件的物理和虚拟设备 具体产品包括思科安全电子邮件网关、思科安全电子邮件和Web管理器 [2] - 受影响的设备需满足两个条件：启用了名为“垃圾邮件隔离”的功能 并且该设备可从互联网访问 但该功能默认未启用且无需暴露于互联网 [2][3] - 该漏洞目前是一个零日漏洞 黑客利用其安装持久性后门 此攻击活动至少自2025年11月下旬以来一直在持续 [6] 潜在影响与应对措施 - 安全研究人员指出 由于许多大型组织使用受影响的产品 且尚无补丁 黑客后门存在时间不明 此次攻击活动问题尤为严重 [3] - 思科目前未透露受影响的客户数量 [4] - 由于没有可用的补丁 思科目前向客户建议的解决方案是彻底清除并重建受影响产品的软件 在确认遭受入侵的情况下 重建设备是目前消除攻击者持久性机制的唯一可行选择 [5] 攻击者背景 - 根据思科Talos威胁情报研究团队的调查 此次攻击活动背后的黑客与中国及其他已知的中国政府黑客组织有关联 [6]