Pelanggan Cisco kembali dihadapkan pada gelombang serangan siber baru yang dilancarkan oleh kelompok ancaman yang terkait dengan Tiongkok. Serangan ini secara aktif mengeksploitasi kerentanan zero-day kritis yang memengaruhi perangkat lunak keamanan email dan web vendor tersebut, setidaknya sejak akhir November. Cisco mengonfirmasi hal ini dalam sebuah peringatan yang dirilis pada hari Rabu, menyatakan bahwa mereka mulai menyadari adanya serangan ini pada tanggal 10 Desember.

Kerentanan yang dimaksud, dengan identifikasi CVE-2025-20393, memiliki skor CVSS 10.0 yang menunjukkan tingkat keparahan maksimum. Ini adalah kerentanan validasi input yang tidak tepat yang memengaruhi perangkat lunak Cisco AsyncOS untuk Cisco Secure Email Gateway dan Cisco Secure Email and Web Manager. Eksploitasi kerentanan ini memungkinkan penyerang untuk mengeksekusi perintah dengan hak istimewa tak terbatas dan menanamkan pintu belakang (backdoor) yang persisten pada perangkat yang telah disusupi. Hingga saat ini, belum ada patch yang tersedia untuk kerentanan ini, dan Cisco menolak untuk memberikan jadwal kapan patch tersebut akan dirilis.

Para peneliti Cisco Talos mengaitkan serangan ini dengan kelompok ancaman persisten tingkat lanjut (APT) Tiongkok yang mereka lacak sebagai UAT-9686. Kelompok ini diketahui menggunakan alat dan infrastruktur yang konsisten dengan kelompok ancaman yang disponsori negara Tiongkok lainnya, seperti APT41 dan UNC5174. Cisco mengamati “konfigurasi non-standar” pada jaringan yang disusupi, khususnya sistem pelanggan yang dikonfigurasi dengan fitur karantina spam yang terekspos secara publik. Fitur karantina spam ini, yang harus aktif dan terekspos ke publik agar kerentanan dapat dieksploitasi, tidak diaktifkan secara default. Cisco menolak untuk menjawab pertanyaan mengenai berapa banyak pelanggan yang telah terdampak, namun mendorong pelanggan untuk mengikuti panduan dalam peringatan mereka untuk menentukan apakah mereka terekspos dan mengambil langkah-langkah mitigasi risiko, termasuk mengisolasi atau membangun kembali sistem yang terpengaruh. Pada hari Kamis, Cybersecurity and Infrastructure Security Agency (CISA) menambahkan zero-day ini ke dalam katalog kerentanan yang diketahui dieksploitasi.

Mengenai aspek “konfigurasi non-standar”, Douglas McKee, direktur intelijen kerentanan di Rapid7, menjelaskan kepada CyberScoop bahwa menyoroti konfigurasi tersebut bukanlah bentuk menyalahkan pengguna, melainkan detail teknis relevan yang membantu para pembela menilai kemungkinan eksploitasi. “Masalah intinya tidak berubah,” tambahnya. “Perangkat lunak gagal dalam kondisi tertentu, dan itu adalah tanggung jawab vendor untuk memperbaikinya. Desain yang aman berarti memperhitungkan kasus-kasus ekstrem, bahkan ketika sulit, dan tidak mengalihkan tanggung jawab ketika dieksploitasi.” Dustin Childs, kepala kesadaran ancaman di Zero Day Initiative Trend Micro, menambahkan bahwa konfigurasi non-standar yang memicu cacat tersebut mengindikasikan serangan menargetkan pengguna tertentu. Namun, tidak diketahui berapa banyak pelanggan Cisco yang telah mengaktifkan fitur karantina spam dan mengeksposnya ke internet.

Kelompok ancaman Tiongkok secara konsisten mengeksploitasi kerentanan Cisco. Serangan terbaru ini menyusul serangkaian serangan luas sebelumnya yang melibatkan eksploitasi aktif kerentanan zero-day yang memengaruhi firewall Cisco. Otoritas siber federal mengeluarkan arahan darurat pada bulan September mengenai serangan sebelumnya, yang berdampak pada beberapa lembaga pemerintah pada bulan Mei. CISA dan Cisco pada saat itu tidak sepenuhnya menjelaskan mengapa mereka menunggu empat bulan sejak respons awal terhadap serangan untuk mengungkapkan aktivitas berbahaya, menambal zero-day, dan mengeluarkan arahan darurat.

Seorang juru bicara Cisco menyatakan bahwa tidak ada bukti yang menunjukkan bahwa serangan baru-baru ini terkait dengan serangan yang terjadi awal tahun ini. Cisco mengaitkan serangan sebelumnya dengan kelompok ancaman yang sama di balik kampanye awal tahun 2024 yang menargetkan perangkat Cisco, yang mereka juluki “ArcaneDoor.” Meskipun demikian, insiden ini kembali menyoroti urgensi bagi organisasi untuk secara proaktif mengelola postur keamanan mereka dan mematuhi panduan vendor untuk mitigasi risiko siber yang terus berkembang.

Sumber: cyberscoop.com