Pesquisadores da GreyNoise identificaram exploração ativa de duas vulnerabilidades da Cisco, CVE-2018-0171 e CVE-2023-20198, ambas ligadas a ataques recentes supostamente conduzidos pelo grupo de hackers chineses Salt Typhoon. Esse grupo patrocinado pelo Estado já foi responsável por invasões a grandes empresas de telecomunicações, incluindo AT&T, Verizon e Lumen Technologies. A vulnerabilidade CVE-2018-0171, que afeta o recurso Smart Install do Cisco IOS e IOS XE, foi explorada entre dezembro de 2024 e janeiro de 2025.

A equipe de pesquisadores da Cisco Talos confirmou recentemente que o Salt Typhoon usou essa falha em um ataque, embora não tenha encontrado evidências de que o grupo tenha explorado outras vulnerabilidades da Cisco. Além disso, um relatório do Insikt Group, da Recorded Future, revelou que entre dezembro e janeiro, o Salt Typhoon continuou atacando operadoras de telecomunicações, explorando a falha crítica CVE-2023-20198 para elevar privilégios e comprometer dispositivos Cisco não corrigidos. Durante essa campanha, pelo menos cinco novas operadoras foram comprometidas, incluindo duas sediadas nos EUA.

A GreyNoise alerta para atividade maliciosa adicional explorando essas falhas. De acordo com um post publicado pela empresa, dois IPs maliciosos originários da Suíça e dos EUA exploraram a CVE-2018-0171 no mesmo período em que o Salt Typhoon foi ligado à invasão de redes de telecomunicações. Além disso, 110 IPs maliciosos de países como Bulgária, Brasil e Cingapura foram detectados explorando a CVE-2023-20198 em dispositivos Cisco desatualizados. Apesar dessas descobertas, os pesquisadores ainda não identificaram com precisão os responsáveis pelos ataques recentes. Embora a exploração da CVE-2018-0171 tenha ocorrido ao mesmo tempo dos ataques do Salt Typhoon, a GreyNoise não atribuiu diretamente essas atividades ao grupo chinês, deixando em aberto a possibilidade de múltiplos atores envolvidos.