Сегодня компания Cisco предупредила своих клиентов о том, что уязвимость нулевого дня Cisco AsyncOS с максимальным уровнем опасности активно используется в атаках на устройства Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM).
Эта уязвимость нулевого дня, которую ещё предстоит устранить (CVE-2025-20393), затрагивает только устройства Cisco SEG и Cisco SEWM с нестандартными конфигурациями, если функция «Карантин для спама» включена и доступна через Интернет.
Cisco Talos, исследовательская группа компании по анализу угроз, считает, что за атаками, использующими эту уязвимость в системе безопасности для выполнения произвольных команд с правами root и развёртывания постоянных бэкдоров AquaShell, вредоносных программ AquaTunnel и Chisel для обратного SSH-туннелирования, а также инструмента для очистки журналов под названием AquaPurge, стоит китайская группа злоумышленников, отслеживаемая как UAT-9686. Индикаторы компрометации доступны в этом репозитории GitHub.
AquaTunnel и другие вредоносные инструменты, использовавшиеся в этих атаках, в прошлом также были связаны с другими китайскими хакерскими группировками, поддерживаемыми государством, такими как UNC5174 и APT41.
«С умеренной уверенностью мы можем сказать, что противник, которого мы отслеживаем как UAT-9686, является субъектом продвинутой постоянной угрозы (APT) с китайским следом, чьи инструменты и инфраструктура соответствуют другим китайским группам угроз», — говорится в сообщении Cisco Talos опубликованном в среду.
«В рамках этой деятельности UAT-9686 использует собственный механизм сохранения данных, который мы отслеживаем как AquaShell, в сочетании с дополнительными инструментами, предназначенными для обратного туннелирования и очистки журналов.»
Хотя компания обнаружила эти атаки 10 декабря, кампания велась как минимум с конца ноября 2025 года.
Ограничьте доступ к уязвимым устройствам
Хотя Cisco ещё не выпустила обновления безопасности для устранения этой уязвимости нулевого дня, компания посоветовала администраторам защитить уязвимые устройства и ограничить доступ к ним. Рекомендации включают в себя ограничение доступа в Интернет, подключение только к проверенным хостам и размещение устройств за брандмауэрами для фильтрации трафика.
Администраторам также следует разделить функции обработки и управления почтой, отслеживать веб-журналы на предмет необычной активности и сохранять журналы для проведения расследований.
Также рекомендуется отключить ненужные службы, обновить системы до последней версии программного обеспечения Cisco AsyncOS, внедрить надежные методы аутентификации, такие как SAML или LDAP, изменить пароли по умолчанию и использовать сертификаты SSL или TLS для защиты трафика управления.
Компания Cisco обратилась к клиентам, которые хотят проверить, не были ли их устройства взломаны, чтобы открыть обращение в Центр технической поддержки Cisco (TAC), и настоятельно рекомендует следовать указаниям в разделе «Рекомендации» сегодняшнего бюллетеня по безопасности.
«Если было обнаружено, что веб-интерфейс управления устройством или порт Spam Quarantine открыты и доступны из Интернета, компания Cisco настоятельно рекомендует по возможности выполнить многоэтапный процесс восстановления безопасной конфигурации устройства», — предупреждает Cisco.
«Если восстановить устройство невозможно, Cisco рекомендует обратиться в службу технической поддержки, чтобы проверить, не было ли устройство скомпрометировано. В случае подтвержденной компрометации единственным возможным вариантом устранения механизма сохранения данных злоумышленников на устройстве является его переустановка».