Cisco ostrzega przed aktywnie wykorzystywanym 0-dayem w AsyncOS (CVE-2025-20393) — ataki na Secure Email Gateway/SEWM

Wprowadzenie do problemu / definicja luki

Cisco poinformowało o krytycznej luce dnia zerowego w AsyncOS dla urządzeń Cisco Secure Email Gateway (SEG) oraz Cisco Secure Email and Web Manager (SEWM). Błąd oznaczony jako CVE-2025-20393 ma CVSS 10.0 i umożliwia zdalne wykonanie komend z uprawnieniami roota na podatnym urządzeniu. Wykorzystanie jest obserwowane „na żywo” w ograniczonej puli urządzeń o nietypowej (niestandardowej) ekspozycji do Internetu.

W skrócie

• Co: zdalne RCE przez niewłaściwą walidację danych wejściowych w AsyncOS (CWE-20).
• Kogo dotyczy: urządzeń SEG/SEWM z włączonym i do Internetu wystawionym modułem Spam Quarantine (nie jest domyślnie aktywny).
• Kto atakuje: grupa o powiązaniach z Chinami śledzona jako UAT-9686.
• Status łatek: brak patcha w momencie publikacji; CISA dodała CVE do KEV z terminem działań do 24 grudnia 2025 dla agencji federalnych USA.

Kontekst / historia / powiązania

Kampania została zauważona przez Cisco 10 grudnia 2025 r., a aktywność atakujących sięga końca listopada. Równolegle GreyNoise zarejestrował zautomatyzowane kampanie logowań (password spraying/credential stuffing) wymierzone w VPN-y (Palo Alto GlobalProtect i Cisco SSL VPN) — to inny, niezależny wątek niż 0-day w AsyncOS, ale pokazuje presję na urządzenia brzegowe.

Analiza techniczna / szczegóły luki

• Identyfikator: CVE-2025-20393
• Wektor: zdalny, bez uwierzytelnienia, niski nakład pracy; wpływ na C/I/A: High (CVSS 3.1: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
• Warunki eksploatacji:
  • Funkcja Spam Quarantine jest włączona.
  • Interfejs Spam Quarantine jest osiągalny z Internetu (ekspozycja).
  • Dotyczy zarówno wydań fizycznych, jak i wirtualnych SEG/SEWM.
• Łańcuch po włamaniu (observed TTPs):
  • Wgranie lekkiego backdoora „AquaShell” (Python) podsłuchującego pasywnie na żądania HTTP POST i wykonującego zakodowane polecenia w powłoce systemu.
  • Użycie narzędzi tunelujących AquaTunnel/ReverseSSH oraz Chisel w celu trwałego dostępu i pivotu, a także AquaPurge do „czyszczenia” logów.
  • W Talosie odnotowano osadzenie AquaShell m.in. w pliku /data/web/euq_webui/htdocs/index.py.

Praktyczne konsekwencje / ryzyko

• Przejęcie pełnej kontroli nad urządzeniem SEG/SEWM (root), a więc ryzyko podmiany polityk, manipulacji pocztą, eksfiltracji danych, pivotu do sieci wewnętrznej oraz ukrywania śladów (AquaPurge).
• Urządzenia SEG/SEWM często pełnią centralne funkcje zarządcze i kwarantanny — ich kompromitacja ma ponadprzeciętny wpływ na łańcuch dostarczania poczty i bezpieczeństwo całej organizacji.

Rekomendacje operacyjne / co zrobić teraz

Natychmiast:

1. Oceń ekspozycję: sprawdź, czy Spam Quarantine jest włączony oraz czy interfejs jest osiągalny z Internetu; jeżeli tak — odetnij go od Internetu (ACL/WAF/VPN), najlepiej umieść za firewallem i ogranicz ruch do zaufanych hostów.
2. Oddziel interfejsy: rozdziel interfejsy mail i management; wyłącz HTTP dla portalu administratora (pozostaw wyłącznie HTTPS z mTLS/VPN).
3. Twarde uwierzytelnianie: wymuś silne metody SSO/MFA (np. SAML/LDAP), wyłącz konta domyślne, zmień hasła adminów.
4. Higiena usług: wyłącz nieużywane usługi, przeglądnij konfigurację AsyncOS pod kątem niestandardowych ustawień i ekspozycji.
5. Monitoring i IR: przeanalizuj logi WWW/SSH pod kątem nieoczekiwanych żądań POST oraz tuneli; skorzystaj z IOC-ów Talosa (hashe, IP) i gotowych reguł/telemetrii w EDR/NDR. W razie potwierdzenia kompromitacji przeinstaluj/odbuduj urządzenie (jedyna pewna metoda usunięcia trwałości).

W najbliższych dniach:

• Śledź aktualizacje Cisco PSIRT i wdrożenie ewentualnych łat natychmiast po publikacji; agencje federalne w USA mają termin działań do 24 grudnia 2025 r. (KEV).
• Jeśli Twoja organizacja widzi korelację z aktywnością brute-force na VPN-ach, zastosuj ochronę kont (MFA, blokady, geo, prędkości), ale pamiętaj, iż to oddzielna kampania od 0-daya w AsyncOS.

Jak sprawdzić ustawienie Spam Quarantine (skrót): w GUI przejdź do Network → IP Interfaces → [interfejs] i sprawdź, czy Spam Quarantine jest zaznaczony (SEG); analogicznie dla SEWM. jeżeli zaznaczony, nie powinien być dostępny z Internetu.

Różnice / porównania z innymi przypadkami

• AsyncOS 0-day (CVE-2025-20393) wymaga specyficznej konfiguracji (włączony i wystawiony Spam Quarantine). To odróżnia go od wielu „remote-by-default” błędów w brzegowych urządzeniach.
• Kampania GreyNoise na VPN-y to automatyczne próby logowania (credential-based), a nie exploit luki — inna technika, inny cel, choć ofiary mogą się pokrywać (organizacje z dużą ekspozycją usług).

Podsumowanie / najważniejsze wnioski

• Mamy do czynienia z aktywnie wykorzystywanym 0-dayem o maksymalnej krytyczności, wykorzystywanym przez UAT-9686.
• Brak łat oznacza, iż architektura i ekspozycja decydują dziś o bezpieczeństwie: odetnij Spam Quarantine od Internetu, wzmocnij dostęp administracyjny, monitoruj pod kątem AquaShell/AquaTunnel/Chisel.
• Potwierdzona kompromitacja ⇒ rebuild urządzenia.
• Śledź komunikaty Cisco/Talos i wpis w KEV; działaj przed terminem compliance.

Źródła / bibliografia

• Cisco Talos: „UAT-9686 actively targets Cisco Secure Email Gateway and Secure Email and Web Manager” (szczegóły AquaShell/AquaTunnel/Chisel, IOC). (Cisco Talos Blog)
• NVD (CVE-2025-20393): opis CVE, wektor CVSS, odnośnik do KEV i advisory Cisco. (NVD)
• Cisco PSIRT Advisory (AsyncOS / SEG / SEWM; warunki eksploatacji, zalecenia). (sec.cloudapps.cisco.com)
• The Hacker News: podsumowanie, warunki „Spam Quarantine + ekspozycja”, zalecenia tymczasowe. (The Hacker News)
• GreyNoise: „Coordinated Credential-Based Campaign Targets Cisco and Palo Alto Networks VPN Gateways” (kampania loginów, niezależna od 0-daya). (greynoise.io)