Компания Cisco наконец-то выпустила исправление для уязвимости нулевого дня Cisco AsyncOS с максимальным уровнем опасности, которая использовалась для атак на устройства Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM) с ноября 2025 года.
Как объяснила компания Cisco в декабре, когда она сообщила об уязвимости (CVE-2025-20393), она затрагивает только устройства Cisco SEG и Cisco SEWM с нестандартными конфигурациями, если функция «Карантин для спама» включена и доступна через Интернет.
«В устройствах Cisco Secure Email Gateway, Secure Email, AsyncOS Software и Web Manager обнаружена уязвимость, связанная с некорректной проверкой вводимых данных, которая позволяет злоумышленникам выполнять произвольные команды с правами root в базовой операционной системе уязвимого устройства», — заявили в Cisco.
Подробные инструкции по обновлению уязвимых устройств до фиксированной версии программного обеспечения доступны в этом бюллетене по безопасности.
Cisco Talos, исследовательская группа компании по анализу угроз, считает, что за атаками с использованием уязвимости для выполнения произвольных команд с правами суперпользователя, скорее всего, стоит китайская хакерская группа UAT-9686.
В ходе расследования атак компания Cisco Talos обнаружила, что злоумышленники использовали постоянные бэкдоры AquaShell, вредоносные программы AquaTunnel и Chisel для создания обратных SSH-туннелей, а также инструмент AquaPurge для очистки журналов, чтобы скрыть следы своей вредоносной деятельности.
AquaTunnel и другие вредоносные инструменты, использованные в этой кампании, в прошлом также были связаны с другими поддерживаемыми государством китайскими группами угроз, такими как APT41 и UNC5174.
«Мы с умеренной уверенностью можем утверждать, что противник, которого мы отслеживаем как UAT-9686, является субъектом продвинутой постоянной угрозы (APT) с китайскими связями, чьи инструменты и инфраструктура соответствуют другим китайским группам угроз», — сообщили в Cisco Talos.
«В рамках этой деятельности UAT-9686 развертывает собственный механизм сохранения данных, который мы отслеживаем как AquaShell, а также дополнительные инструменты для обратного туннелирования и очистки журналов».
17 декабря CISA также добавила CVE-2025-20393 в свой каталог известных уязвимостей, обязав федеральные агентства в течение недели, до 24 декабря, защитить свои системы в соответствии с рекомендациями Cisco, как того требует обязательная оперативная директива (BOD) 22-01.
«Пожалуйста, следуйте рекомендациям Cisco по оценке уязвимости и снижению рисков. Проверьте все продукты Cisco, доступные через Интернет, на наличие признаков потенциального взлома, связанных с этой уязвимостью. Примените все окончательные меры по устранению уязвимости, предложенные поставщиком, как только они станут доступны», — заявили в CISA.
«Подобные уязвимости часто используются злоумышленниками и представляют значительный риск для федерального предприятия».