Η Cisco έχει επιβεβαιώσει την ενεργή εκμετάλλευση μιας κρίσιμης ευπάθειας εκτέλεσης απομακρυσμένου κώδικα μηδενικής ημέρας στις συσκευές Secure Email Gateway και Secure Email και Web Manager.
Παρακολούθηση ως CVE-2025-20393, το ελάττωμα επιτρέπει σε μη επαληθευμένους εισβολείς να εκτελούν αυθαίρετες εντολές σε επίπεδο ρίζας μέσω δημιουργημένων αιτημάτων HTTP στη δυνατότητα Spam Quarantine.
Η ευπάθεια προέρχεται από την ανεπαρκή επικύρωση αιτημάτων HTTP στη δυνατότητα Spam Quarantine του λογισμικού Cisco AsyncOS, επιτρέποντας την απομακρυσμένη εκτέλεση εντολών με δικαιώματα root στις επηρεαζόμενες συσκευές.
Κατατάσσεται στην κατηγορία CWE-20 (Improper Input Validation), βαθμολογείται με μέγιστη βάση CVSSv3.1 10.0, υπογραμμίζοντας την προσβασιμότητα στο δίκτυο, τη χαμηλή πολυπλοκότητα και τον πλήρη αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα.
Η εκμετάλλευση στοχεύει συσκευές όπου η καραντίνα ανεπιθύμητης αλληλογραφίας είναι ενεργοποιημένη και εκτίθεται στο διαδίκτυο, συνήθως στη θύρα 6025, μια διαμόρφωση που δεν είναι ενεργοποιημένη από προεπιλογή και αποθαρρύνεται στους οδηγούς ανάπτυξης.
| Αναγνωριστικό CVE | Βαθμολογία CVSS | Διάνυσμα συμβολοσειρά | CWE ID | Αναγνωριστικά σφαλμάτων |
|---|---|---|---|---|
| CVE-2025-20393 | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CWE-20 | CSCws36549, CSCws52505 |
Η Cisco ενημερώθηκε για τις επιθέσεις στις 10 Δεκεμβρίου 2025, με στοιχεία εκμετάλλευσης να χρονολογούνται από τον Νοέμβριο του 2025.
Ηθοποιός εκστρατείας εκμετάλλευσης και απειλών
Η Cisco Talos αποδίδει την καμπάνια στο UAT-9686 (επίσης UNC-9686), έναν προηγμένο παράγοντα επίμονης απειλής από την Κίνα-nexus, με μέτρια εμπιστοσύνη που βασίζεται σε αλληλεπικαλύψεις εργαλείων με ομάδες όπως οι APT41 και UNC5174.
Οι εισβολείς αναπτύσσουν μια κερκόπορτα που βασίζεται σε Python που ονομάζεται AquaShell για μόνιμη απομακρυσμένη πρόσβαση, μαζί με εργαλεία αντίστροφης σήραγγας SSH όπως το AquaTunnel και το Chisel για εσωτερική περιστροφή και το AquaPurge για σκούπισμα αρχείων καταγραφής για αποφυγή εντοπισμού. Οι στόχοι περιλαμβάνουν τομείς τηλεπικοινωνιών και κρίσιμων υποδομών, με τη μετά την εκμετάλλευση να επικεντρώνεται στην κατασκοπεία και όχι στο ransomware.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε το CVE-2025-20393 στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών στις 17 Δεκεμβρίου 2025, υποχρεώνοντας τις ομοσπονδιακές υπηρεσίες να μετριάσουν έως τις 24 Δεκεμβρίου 2025. Δεν υπάρχει δημόσια απόδειξη2, αλλά η χρήση του Ιανουαρίου2.
Οι δείκτες συμβιβασμού περιλαμβάνουν τον εμφυτευμένο μηχανισμό επιμονής, ένα κρυφό κανάλι για απομακρυσμένη πρόσβαση. Η Cisco συνιστά την επαλήθευση μέσω της υποστήριξης του Κέντρου Τεχνικής Βοήθειας (TAC) με ενεργοποιημένη την απομακρυσμένη πρόσβαση.
Μετριασμός και Διορθώσεις εκδόσεων
Κυκλοφόρησε η Cisco μπαλώματα αντιμετώπιση της ευπάθειας και αφαίρεση γνωστών μηχανισμών επιμονής· δεν υπάρχουν λύσεις. Οι διαχειριστές θα πρέπει να αναβαθμίσουν αμέσως και να επιβεβαιώσουν την κατάσταση Spam Quarantine μέσω της διεπαφής ιστού στην περιοχή Network > IP Interfaces.
Διορθώθηκαν οι εκδόσεις Cisco Secure Email Gateway
| Ευάλωτη Απελευθέρωση | Πρώτη Σταθερή Έκδοση |
|---|---|
| 14.2 και νωρίτερα | 15.0.5-016 |
| 15.0 | 15.0.5-016 |
| 15.5 | 15.5.4-012 |
| 16.0 | 16.0.4-016 |
Διορθώθηκαν οι εκδόσεις Cisco Secure Email και Web Manager
| Ευάλωτη Απελευθέρωση | Πρώτη Σταθερή Έκδοση |
|---|---|
| 15.0 και νωρίτερα | 15.0.2-007 |
| 15.5 | 15.5.4-007 |
| 16.0 | 16.0.4-010 |
Η πρόσθετη σκλήρυνση περιλαμβάνει τείχος προστασίας, διαχωρισμό διεπαφών αλληλογραφίας/διαχείρισης, απενεργοποίηση περιττών υπηρεσιών όπως το HTTP/FTP και χρήση ισχυρών πρωτοκόλλων ελέγχου ταυτότητας όπως SAML ή LDAP.
Οι υπηρεσίες Cisco Secure Email Cloud παραμένουν ανεπηρέαστες. Οι οργανισμοί θα πρέπει να παρακολουθούν τα αρχεία καταγραφής εξωτερικά και να επικοινωνούν με την TAC για αξιολόγηση συμβιβασμού.
