Kritickú zraniteľnosť Cisco AsyncOS aktívne zneužívajú vo viacerých kampaniach

Spoločnosť Cisco varovala pred aktívnym zneužívaním kritickej zero‑day zraniteľnosti v produktoch Cisco SEG (Secure Email Gateway) a SEWM (Secure Email and Web Manager). Zraniteľnosť s identifikátorom CVE‑2025‑20393 v operačnom systéme AsyncOS umožňuje vzdialene vykonávať systémové príkazy a kompromitovať zraniteľný systém.

Zraniteľné systémy:

• Cisco Secure Email Gateway (predtým Cisco Email Security Appliance)
• Cisco Secure Email and Web Manager (predtým Cisco Content Security Management Appliance)

Opis činnosti:

CVE-2025-20393 (CVSS skóre 10,0)

Kritická zero-day zraniteľnosť zariadení Cisco SEG a Cisco SEWM je aktívna, keď má zariadenie povolenú a do internetu vystavenú funkcionalitu Spam Quarantine. Zraniteľnosť sa nachádza v operačnom systéme Cisco AsyncOS a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie systémových príkazov s oprávneniami root.

Zraniteľnosť je aktívne zneužívaná minimálne od konca novembra 2025. Podľa skupiny Cisco Talos zraniteľnosť zneužíva čínska skupina UAT‑9686 pri nasadzovaní perzistentných zadných dvierok AquaShell, nástrojov pre vytváranie reverzných tunelov SSH AquaTunnel a TPC/UDP Chisel a nástroja pre čistenie logov AquaPurge.

Možné škody:

• Vzdialené vykonávanie systémových príkazov
• Získanie kontroly nad zariadením

Odporúčania:

Na uvedenú zraniteľnosť v súčasnosti nie sú dostupné aktualizácie. Výrobca administrátorom odporúča

• limitovať prístup k zariadeniam na dôveryhodné IP adresy
• chrániť zariadenia firewallom,
• používať bezpečnú autentifikáciu, napríklad prostredníctvom SAML alebo LDAP,
• zmeniť predvolené heslá,
• používať SSL/TLS certifikáty na zabezpečenie manažmentovej prevádzky,
• pre Cisco SEG oddeliť funkcie pre spracovanie e‑mailov a manažment na nezávislé sieťové rozhrania,
• monitorovať logy sieťovej prevádzky na prítomnosť podozrivých prístupov a pokusov o zneužitie zraniteľnosti a prítomnosť indikátorov kompromitácie.

V prípade potvrdenej kompromitácie je potrebná obnova zariadenia do pôvodného stavu / továrenských nastavení. O pomoc s preverením vášho zariadenia môžete požiadať Cisco na oficiálnych stránkach.

Indikátory kompromitácie:

Hashe

2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef
145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca
85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc
2D89FB7455FF3EBF6B965D8B1113857607F7FBDA4C752CCB591DBC1DC14BA0DA
47EC51B5F0EDE1E70BD66F3F0152F9EB536D534565DBB7FCC3A05F542DBE4428
be1037fac396cf54fb9e25c48e5b0039b3911bb8426cbf52c9433ba06c0685ce
3cd5703d285ed2753434f14f8da933010ecfdc1e5009d0e438188aaf85501612
3c1b9df801b9abbb3684670822f367b5b8cda566b749f457821b6481606995b3

IP adresy

172[.]233[.]67[.]176
172[.]237[.]29[.]147
38[.]54[.]56[.]95

Odkazy:

• https://nvd.nist.gov/vuln/detail/CVE-2025-20393
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4
• https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/
• https://blog.talosintelligence.com/uat-9686/