A Cisco revelou nesta quarta-feira que um grupo de hackers com apoio do governo chinês está explorando uma vulnerabilidade inédita para atacar clientes corporativos que utilizam alguns de seus produtos mais populares. A empresa não divulgou quantas organizações já foram comprometidas nem o total de sistemas potencialmente vulneráveis.
Pesquisadores de segurança, no entanto, estimam que a exposição seja significativa. Segundo Piotr Kijewski, diretor executivo da Shadowserver Foundation, organização sem fins lucrativos que monitora campanhas de ataques na internet, o número de possíveis vítimas “parece estar mais na casa das centenas do que dos milhares”. Em entrevista ao TechCrunch, Kijewski afirmou que não há indícios de exploração em larga escala, o que sugere que os ataques estão sendo conduzidos de forma direcionada.
Vulnerabilidade zero-day preocupa especialistas
A falha, identificada oficialmente como CVE-2025-20393, é classificada como zero-day, termo usado quando a vulnerabilidade é descoberta antes da disponibilização de uma correção pelo fabricante. A Shadowserver mantém uma página dedicada ao monitoramento de sistemas expostos e vulneráveis, indicando que países como Índia, Tailândia e Estados Unidos concentram dezenas de dispositivos afetados.
A empresa de cibersegurança Censys também identificou um número limitado, porém relevante, de clientes impactados. Em uma publicação recente, a companhia informou ter encontrado 220 gateways de e-mail da Cisco expostos à internet, um dos produtos afetados pela falha.
Produtos afetados e condições de exploração
Em seu aviso de segurança, a Cisco informou que a vulnerabilidade está presente em softwares utilizados por diversos produtos, incluindo o Secure Email Gateway e o Secure Email and Web Manager. De acordo com a empresa, os sistemas só ficam vulneráveis se estiverem acessíveis pela internet e com o recurso de “quarentena de spam” ativado.
A Cisco destacou que nenhuma dessas configurações vem habilitada por padrão, o que ajuda a explicar por que o número de sistemas expostos não é maior. Mesmo assim, a empresa não respondeu a questionamentos sobre a possibilidade de confirmar os números levantados pela Shadowserver e pela Censys.
Sem correção disponível, reconstrução é a única saída
O ponto mais crítico da campanha é a ausência de uma correção oficial até o momento. A Cisco recomenda que clientes potencialmente afetados apaguem todos os dados e restaurem os dispositivos comprometidos para um estado considerado seguro.
Segundo a empresa, em casos de comprometimento confirmado, a reconstrução completa dos dispositivos é atualmente a única forma eficaz de remover os mecanismos de persistência usados pelos invasores. A Talos, divisão de inteligência de ameaças da própria Cisco, afirma que a campanha de ataques está em andamento desde pelo menos o fim de novembro de 2025.
O caso reforça o risco representado por vulnerabilidades zero-day em ambientes corporativos e a importância de monitoramento contínuo, segmentação de acesso e resposta rápida a incidentes de segurança.
