Salve Geeks, como vocês estão? Clientes Cisco vulneráveis estão sendo explorados por um grupo ligado ao governo chinês através de uma falha zero-day (CVE-2025-20393) que afeta appliances de e‑mail e gerenciamento web da empresa, segundo comunicados e pesquisas independentes.
O que já se sabe
A Cisco confirmou a existência da vulnerabilidade e publicou um comunicado de segurança com orientações iniciais. Pesquisadores externos estimam que a exposição seja limitada a centenas de clientes, em vez de milhares, e que os ataques até agora tenham foco direcionado.
A organização Shadowserver mantém um painel público com sistemas detectados como vulneráveis. Já a empresa de monitoramento Censys relatou cerca de 220 gateways de e‑mail da Cisco expostos à internet — um dos vetores mais preocupantes.
“A escala da exposição parece mais na casa das centenas do que de milhares ou dezenas de milhares.” — Piotr Kijewski, Shadowserver Foundation
Produtos afetados e condição de risco
A falha está presente em software usado por vários equipamentos Cisco, incluindo o Secure Email Gateway e o Secure Email and Web Manager. A Cisco ressalta que dois fatores precisam acontecer para haver risco real:
- O aparelho precisa estar acessível a partir da internet;
- O recurso de quarentena de spam precisa estar ativado (não vem ativado por padrão em muitas instalações).
Essas condições explicam por que, mesmo sendo uma falha crítica (zero-day), o número de sistemas afetados visíveis publicamente continua relativamente baixo.
Por que a correção não está disponível e o que a Cisco recomenda
Como é um zero-day, não havia patch publicado quando a exploração foi detectada. A Cisco orienta clientes a apagar e reconstruir appliances afetados para eliminar qualquer mecanismo de persistência instalado pelo invasor. A empresa afirma que, se o comprometimento for confirmado, a restauração do appliance para um estado seguro é, no momento, a única opção viável para erradicar o agente de ameaça.
Recomendações práticas iniciais (priorize conforme seu ambiente):
- Isolar imediatamente appliances suspeitos da rede e da internet.
- Verificar logs e indicadores de compromisso; coletar evidências antes de restaurar.
- Desabilitar temporariamente funcionalidades expostas (por exemplo, acesso público) quando possível.
- Preparar planos de reconstrução e recuperação conforme as orientações da Cisco.
Como checar se sua instalação está exposta
Admins podem usar scanners internos ou consultar painéis públicos como o da Shadowserver. Para uma visão técnica de ativos expostos, a Censys publicou observações sobre gateways de e‑mail descobertos.
Passos rápidos para administradores
- Confirmar se o dispositivo está acessível publicamente (teste controlado e autorizado).
- Verificar se o recurso de quarentena de spam está ativado e desativá‑lo temporariamente se não for essencial.
- Seguir a checklist de resposta a incidentes: isolar, coletar provas, reconstruir e monitorar.
Perguntas frequentes rápidas
- Isso afeta instalações por padrão? Em muitos casos, não — a Cisco afirma que ambas as condições (acesso público e quarentena ativada) precisam ocorrer, e nenhuma vem ativada por padrão em algumas configurações.
- Existe patch disponível? No momento do comunicado, não havia correção pública; a recomendação oficial é reconstruir appliances comprometidos. Acompanhe o aviso da Cisco para atualizações.
- Como saber se fui atacado? Procure sinais de persistência, conexões de saída inesperadas e alterações de configuração; se houver confirmação, trate como incidente e reconstrua o appliance.
Segundo a equipe Talos da Cisco, a campanha está ativa desde pelo menos o final de novembro de 2025. A cobertura da imprensa técnico‑especializada traz contexto e citaudeiros de pesquisadores; um relato inicial interessante está no TechCrunch.
Se você possui informações adicionais sobre essa campanha ou foi afetado, jornalistas que trabalham com segurança técnica recomendam contato seguro. O repórter citado na cobertura original pode ser encontrado via Signal, Telegram ou e‑mail conforme as indicações públicas fornecidas por fontes originais.
Fiquem atentos, atualizem monitoramento e privilégios de administração, e preparem um procedimento de recuperação — no mundo da segurança, o melhor patch às vezes é um plano de recuperação bem ensaiado.