Η Cisco προειδοποίησε σήμερα τους πελάτες για μια μη επιδιορθωμένη, μέγιστης σοβαρότητας Cisco AsyncOS zero-day που χρησιμοποιείται ενεργά σε επιθέσεις που στοχεύουν σε συσκευές Secure Email Gateway (SEG) και Secure Email and Web Manager (SEWM).
Αυτή η μηδενική ημέρα που δεν έχει ακόμη διορθωθεί (CVE-2025-20393) επηρεάζει μόνο τις συσκευές Cisco SEG και Cisco SEWM με μη τυπικές διαμορφώσεις, όταν η δυνατότητα Spam Quarantine είναι ενεργοποιημένη και εκτίθεται στο Διαδίκτυο.
Η Cisco Talos, η ερευνητική ομάδα πληροφοριών απειλών της εταιρείας, πιστεύει ότι μια κινεζική ομάδα απειλών που παρακολουθείται ως UAT-9686 βρίσκεται πίσω από επιθέσεις που καταχρώνται αυτό το ελάττωμα ασφαλείας για την εκτέλεση αυθαίρετων εντολών με root και την ανάπτυξη επίμονων κερκόπορτων AquaShell, εμφυτεύματα κακόβουλου λογισμικού αντίστροφης σήραγγας AquaTunnel και Chisel και ένα εργαλείο εκκαθάρισης λογαριασμών με όνομα. Οι δείκτες συμβιβασμού είναι διαθέσιμοι στο αυτό το αποθετήριο GitHub.
Το AquaTunnel και άλλα κακόβουλα εργαλεία που χρησιμοποιούνται σε αυτές τις επιθέσεις έχουν επίσης συνδεθεί στο παρελθόν με άλλες ομάδες hacking που υποστηρίζονται από την Κίνα, όπως UNC5174 και APT41.
“Αξιολογούμε με μέτρια σιγουριά ότι ο αντίπαλος, τον οποίο παρακολουθούμε ως UAT-9686, είναι ένας κινεζικός-nexus προηγμένης επίμονης απειλής (APT) παράγοντας του οποίου η χρήση εργαλείων και η υποδομή είναι συνεπείς με άλλες κινεζικές ομάδες απειλών”, η Cisco Talos είπε σε γνωμοδοτικό της Τετάρτης.
“Στο πλαίσιο αυτής της δραστηριότητας, το UAT-9686 αναπτύσσει έναν προσαρμοσμένο μηχανισμό επιμονής που παρακολουθούμε ως AquaShell, συνοδευόμενο από πρόσθετα εργαλεία που προορίζονται για αντίστροφη διοχέτευση σήραγγας και εκκαθάριση αρχείων καταγραφής.”
Ενώ η εταιρεία εντόπισε αυτές τις επιθέσεις στις 10 Δεκεμβρίου, η καμπάνια ήταν ενεργή τουλάχιστον από τα τέλη Νοεμβρίου 2025.
Περιορίστε την πρόσβαση σε ευάλωτες συσκευές
Ενώ η Cisco δεν έχει ακόμη κυκλοφορήσει ενημερώσεις ασφαλείας για να αντιμετωπίσει αυτό το ελάττωμα μηδενικής ημέρας, η εταιρεία συμβούλεψε τους διαχειριστές να ασφαλίσουν και να περιορίσουν την πρόσβαση σε ευάλωτες συσκευές. Οι συστάσεις περιλαμβάνουν τον περιορισμό της πρόσβασης στο Διαδίκτυο, τον περιορισμό των συνδέσεων σε αξιόπιστους κεντρικούς υπολογιστές και την τοποθέτηση συσκευών πίσω από τείχη προστασίας για φιλτράρισμα της κυκλοφορίας.
Οι διαχειριστές θα πρέπει επίσης να διαχωρίζουν τις λειτουργίες διαχείρισης και διαχείρισης αλληλογραφίας, να παρακολουθούν τα αρχεία καταγραφής ιστού για ασυνήθιστη δραστηριότητα και να διατηρούν αρχεία καταγραφής για έρευνες.
Συνιστάται επίσης να απενεργοποιείτε τις περιττές υπηρεσίες, να διατηρείτε τα συστήματα ενημερωμένα με το πιο πρόσφατο λογισμικό Cisco AsyncOS, να εφαρμόζετε ισχυρές μεθόδους ελέγχου ταυτότητας όπως SAML ή LDAP, να αλλάζετε προεπιλεγμένους κωδικούς πρόσβασης και να χρησιμοποιείτε πιστοποιητικά SSL ή TLS για την ασφάλεια διαχείρισης της κυκλοφορίας.
Η Cisco ρώτησε πελάτες που θέλουν να ελέγξουν αν οι συσκευές τους έχουν ήδη κάνει παραβιάστηκε να ανοίξει α Κέντρο Τεχνικής Βοήθειας της Cisco (TAC) περίπτωση, και συνιστά ανεπιφύλακτα να ακολουθήσετε τις οδηγίες στην ενότητα Προτάσεις του σημερινή συμβουλή ασφαλείας.
“Εάν μια συσκευή έχει αναγνωριστεί ότι έχει τη διεπαφή διαχείρισης ιστού ή τη θύρα Spam Quarantine εκτεθειμένη και προσβάσιμη από το Διαδίκτυο, η Cisco συνιστά ανεπιφύλακτα να ακολουθήσετε μια διαδικασία πολλαπλών βημάτων για να επαναφέρετε τη συσκευή σε ασφαλή διαμόρφωση, όταν είναι δυνατόν”, προειδοποίησε η Cisco.
“Εάν η επαναφορά της συσκευής δεν είναι δυνατή, η Cisco συνιστά να επικοινωνήσετε με την TAC για να ελέγξετε εάν η συσκευή έχει παραβιαστεί. Σε περίπτωση επιβεβαιωμένου συμβιβασμού, η ανακατασκευή των συσκευών είναι, επί του παρόντος, η μόνη βιώσιμη επιλογή για την εξάλειψη του μηχανισμού εμμονής των παραγόντων απειλής από τη συσκευή.”
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
