Wprowadzenie do problemu / definicja luki
Cisco opublikowało poprawki dla krytycznej podatności typu zero-day w systemie AsyncOS używanym przez Cisco Secure Email Gateway oraz Cisco Secure Email and Web Manager. Luka, oznaczona jako CVE-2025-20393 i oceniona na CVSS 10.0, umożliwia nieautoryzowane zdalne wykonanie poleceń z uprawnieniami roota w scenariuszu, w którym funkcja Spam Quarantine jest włączona i wystawiona do Internetu.
W skrócie
- Co się dzieje? Aktywnie wykorzystywany zero-day pozwala na RCE jako root przez spreparowane żądania HTTP do komponentu Spam Quarantine.
- Kogo dotyczy? Urządzeń/VA z AsyncOS, gdy Spam Quarantine jest włączone i osiągalne z Internetu.
- Jakie są symptomy kampanii? W atakach obserwowano m.in. backdoor AquaShell, tunelowanie (AquaTunnel/ReverseSSH, Chisel) i czyszczenie logów (AquaPurge).
- Co z priorytetem działań? CISA dodała CVE do KEV 17 grudnia 2025 r. z krótkim terminem wymuszenia działań (dla agencji federalnych: 24 grudnia 2025 r.).
- Jest patch? Tak — Cisco wskazało wersje naprawione (szczegóły niżej).
Kontekst / historia / powiązania
Z doniesień wynika, iż podatność była wykorzystywana co najmniej od listopada 2025 r., a Cisco Talos wiąże kampanię z chińsko-powiązanym aktorem śledzonym jako UAT-9686. W operacjach widoczny był nacisk na utrzymanie dostępu (persistencja) i ukrywanie śladów — m.in. poprzez instalację AquaShell oraz narzędzia do tunelowania i „sprzątania” logów.
Równolegle temat trafił do obiegu instytucjonalnego: kanadyjskie Cyber Centre opisało wpływ na produkty Cisco i potwierdziło, iż warunkiem ryzyka jest ekspozycja Spam Quarantine do Internetu.
Analiza techniczna / szczegóły luki
Mechanizm podatności:
Według opisu w NVD, problem wynika z niewystarczającej walidacji żądań HTTP obsługiwanych przez funkcję Spam Quarantine. Atakujący może wysłać spreparowane żądanie HTTP do podatnego urządzenia i uzyskać wykonanie dowolnych poleceń w systemie operacyjnym z uprawnieniami root.
Warunki eksploatacji (kluczowe):
- Spam Quarantine musi być skonfigurowane,
- a jego interfejs/port musi być osiągalny z Internetu (to nie jest ustawienie domyślne, ale w praktyce bywa wystawiane „dla wygody” lub błędnie przez reguły publikacji).
Ocena ryzyka (CVSS):
CVSS v3.1 = 10.0, wektor: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — czyli zdalnie, bez uwierzytelnienia, o niskiej złożoności, z pełnym wpływem na poufność/integralność/dostępność.
Wersje z poprawką (wg informacji o patchach):
- Dla Email Security Gateway / Secure Email Gateway: AsyncOS 15.0.5-016, 15.5.4-012, 16.0.4-016
- Dla Email and Web Manager / Secure Email and Web Manager: AsyncOS 15.0.2-007, 15.5.4-007, 16.0.4-010
Praktyczne konsekwencje / ryzyko
Jeżeli podatne urządzenie było wystawione do Internetu, skutki mogą być poważniejsze niż „zwykłe RCE”:
- Pełne przejęcie bramy pocztowej = możliwość manipulacji ruchem e-mail, regułami, kwarantanną, a w skrajnym przypadku podmiana komponentów i trwała persistencja. (Uprawnienia root mocno to ułatwiają.)
- Wykorzystanie jako punkt wejścia do sieci przez tunelowanie (ReverseSSH/Chisel), co pasuje do profilu działań APT.
- Utrudniona detekcja: w kampanii obserwowano narzędzia do czyszczenia logów (AquaPurge), co może zacierać ślady.
Rekomendacje operacyjne / co zrobić teraz
Poniżej plan działań, który da się wdrożyć „od razu” w SOC/IT:
- Inwentaryzacja i ekspozycja
- Zidentyfikuj wszystkie instancje (sprzęt/VA) Secure Email Gateway oraz Secure Email and Web Manager.
- Sprawdź, czy Spam Quarantine jest włączone i czy port/usługa jest osiągalna z Internetu.
- Natychmiastowe ograniczenie powierzchni ataku (jeśli dotyczy)
- Zdejmij ekspozycję Spam Quarantine z Internetu (ACL/WAF/VPN, ograniczenie do adresów administracyjnych, segmentacja).
- Traktuj to jako działanie „tu i teraz”, choćby jeżeli patch już jest — bo musisz też ograniczyć ryzyko ponownej kompromitacji.
- Aktualizacja do wersji naprawionych
- Zaktualizuj AsyncOS do wskazanych wersji naprawionych dla Twojej linii produktu.
- Hunting i weryfikacja kompromitacji
- Szukaj artefaktów/nazw/nietypowych procesów i połączeń związanych z: AquaShell, AquaTunnel/ReverseSSH, Chisel, AquaPurge.
- Sprawdź nietypowe sesje wychodzące (tunelowanie), nagłe braki w logach, anomalie w harmonogramach/zadaniach.
- Jeśli podejrzenie kompromitacji jest realne
- Rozważ scenariusz „clean rebuild” urządzenia/VA (w kampanii widziano mechanizmy persistencji; samo „załatanie” nie zawsze jest równoznaczne z usunięciem dostępu atakującego).
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
Ten incydent jest klasycznym przykładem „edge security appliance jako cel APT”:
- urządzenie stoi na styku Internet–organizacja,
- obsługuje krytyczny strumień danych (poczta),
- a przy RCE jako root może stać się stealthy pivotem (tunelowanie + czyszczenie logów).
W praktyce ryzyko bywa silnie skorelowane z jednym błędem architektury: wystawieniem funkcji administracyjnych lub pomocniczych (jak kwarantanna) bez twardych ograniczeń dostępu.
Podsumowanie / najważniejsze wnioski
- CVE-2025-20393 to krytyczny, aktywnie wykorzystywany zero-day w AsyncOS (Spam Quarantine), umożliwiający RCE jako root.
- Największe ryzyko dotyczy środowisk, gdzie Spam Quarantine jest wystawione do Internetu.
- Kampania wiązana z UAT-9686 obejmowała narzędzia persistencji i tunelowania (AquaShell/AquaTunnel/Chisel) oraz czyszczenie logów (AquaPurge), co podnosi wagę działań IR.
- Patch jest dostępny — aktualizacja + weryfikacja kompromitacji to adekwatna kolejność działań.
Źródła / bibliografia
- BleepingComputer – opis kampanii i narzędzi (AquaShell, AquaTunnel, Chisel, AquaPurge), kontekst KEV. (BleepingComputer)
- SecurityWeek – informacje o wydaniu poprawek i wersjach naprawionych. (SecurityWeek)
- NVD (NIST) – techniczny opis podatności, CVSS, warunki eksploatacji, metadane KEV. (nvd.nist.gov)
- CIS (MS-ISAC advisory) – warunki podatności, zalecenia i kontekst operacyjny. (CIS)
- Canadian Centre for Cyber Security – potwierdzenie zakresu wpływu i odniesienia do KEV. (Canadian Centre for Cyber Security)
