Pelanggan Cisco kini menghadapi gelombang serangan siber baru yang dilancarkan oleh kelompok ancaman siber asal Tiongkok. Kelompok ini secara aktif mengeksploitasi kerentanan zero-day kritis yang memengaruhi perangkat lunak keamanan email dan web vendor tersebut, setidaknya sejak akhir November lalu, demikian diungkapkan Cisco dalam sebuah advisory pada hari Rabu. Cisco menyatakan bahwa mereka mulai menyadari adanya serangan ini pada tanggal 10 Desember, menandakan adanya ancaman serius yang telah berlangsung selama beberapa waktu sebelum terdeteksi secara resmi.
Kerentanan yang dimaksud, dengan identifikasi CVE-2025-20393, memiliki tingkat keparahan CVSS 10, yang merupakan skor tertinggi dan menunjukkan risiko yang sangat kritis. Cacat ini adalah kerentanan validasi input yang tidak tepat (improper input validation) yang memengaruhi perangkat lunak Cisco AsyncOS untuk Cisco Secure Email Gateway dan Cisco Secure Email and Web Manager. Eksploitasi kerentanan ini memungkinkan penyerang untuk mengeksekusi perintah dengan hak istimewa tak terbatas dan menanamkan backdoor persisten pada perangkat yang telah disusupi, memberikan mereka kendali penuh atas sistem yang terinfeksi.
Hingga saat ini, belum ada patch atau perbaikan yang tersedia untuk kerentanan ini, dan Cisco menolak untuk memberikan perkiraan kapan patch tersebut akan dirilis. Cisco juga mencatat bahwa “konfigurasi non-standar” telah teramati pada jaringan yang disusupi, khususnya pada sistem pelanggan yang dikonfigurasi dengan fitur karantina spam yang terekspos secara publik. Penting untuk dicatat bahwa fitur karantina spam ini, yang harus aktif dan terekspos ke publik agar penyerang dapat mengeksploitasi kerentanan, tidak diaktifkan secara default oleh Cisco, menunjukkan bahwa serangan ini mungkin menargetkan konfigurasi spesifik.
Para peneliti Cisco Talos mengaitkan serangan ini dengan kelompok ancaman persisten tingkat lanjut (APT) Tiongkok yang mereka lacak sebagai UAT-9686. Kelompok ini diketahui menggunakan peralatan dan infrastruktur yang konsisten dengan kelompok ancaman yang disponsori negara Tiongkok lainnya, seperti APT41 dan UNC5174. Meskipun Cisco menolak untuk menjawab pertanyaan mengenai berapa banyak pelanggan yang telah terdampak, perusahaan tersebut mendorong pelanggan untuk mengikuti panduan dalam advisory mereka guna menentukan apakah mereka terekspos dan mengambil langkah-langkah mitigasi risiko, termasuk mengisolasi atau membangun kembali sistem yang terpengaruh. Badan Keamanan Siber dan Infrastruktur (CISA) Amerika Serikat juga telah menambahkan zero-day ini ke dalam katalog kerentanan yang diketahui dieksploitasi (Known Exploited Vulnerabilities catalog) pada hari Kamis.
Douglas McKee, Direktur Intelijen Kerentanan di Rapid7, menjelaskan kepada CyberScoop bahwa menyoroti konfigurasi non-standar bukanlah bentuk menyalahkan pengguna, melainkan detail teknis relevan yang membantu para pembela menilai kemungkinan eksploitasi. Ia menambahkan, “Masalah intinya tidak berubah. Perangkat lunak gagal dalam kondisi tertentu, dan itu adalah tanggung jawab vendor untuk memperbaikinya. Desain yang aman berarti memperhitungkan kasus-kasus ekstrem, bahkan ketika sulit, dan tidak mengalihkan tanggung jawab ketika dieksploitasi.” Dustin Childs, Kepala Kesadaran Ancaman di Zero Day Initiative Trend Micro, juga berpendapat bahwa konfigurasi non-standar yang memicu cacat tersebut mengindikasikan serangan menargetkan pengguna tertentu, meskipun tidak diketahui berapa banyak pelanggan Cisco yang telah mengaktifkan fitur karantina spam dan mengeksposnya ke internet.
Kelompok ancaman Tiongkok secara konsisten mengeksploitasi kerentanan Cisco. Serangan terbaru ini menyusul serangkaian serangan luas sebelumnya yang melibatkan eksploitasi aktif kerentanan zero-day yang memengaruhi firewall Cisco. Otoritas siber federal bahkan mengeluarkan arahan darurat pada bulan September mengenai serangan sebelumnya, yang berdampak pada beberapa lembaga pemerintah pada bulan Mei. Pada saat itu, CISA dan Cisco tidak sepenuhnya menjelaskan mengapa mereka menunggu empat bulan dari respons awal terhadap serangan untuk mengungkapkan aktivitas berbahaya, menambal zero-day, dan mengeluarkan arahan darurat.
Seorang juru bicara Cisco menyatakan bahwa tidak ada bukti yang menunjukkan bahwa serangan terbaru ini terkait dengan serangan yang terjadi awal tahun ini. Cisco mengaitkan serangan sebelumnya dengan kelompok ancaman yang sama di balik kampanye awal tahun 2024 yang menargetkan perangkat Cisco, yang mereka juluki “ArcaneDoor.” Kampanye ArcaneDoor ini berfokus pada spionase dan menargetkan perangkat jaringan perimeter, menunjukkan pola serangan yang berbeda dari gelombang serangan zero-day terbaru yang menargetkan keamanan email dan web.
Sumber: cyberscoop.com