Spoločnosť Cisco vo štvrtok (15. 1. 2026) vydala bezpečnostné aktualizácie pre bezpečnostnú chybu s maximálnou závažnosťou, ktorá ovplyvňuje softvér Cisco AsyncOS pre Cisco Secure Email Gateway a Cisco Secure Email and Web Manager, takmer mesiac po tom, čo spoločnosť oznámila, že bola zneužívaná ako zero-day čínskym aktérom pokročilých pretrvávajúcich hrozieb (APT) s krycím názvom UAT-9686.
Zraniteľnosť, sledovaná pod označením CVE-2025-20393 (skóre CVSS: 10.0), je chyba vzdialeného vykonania príkazov, ktorá vzniká v dôsledku nedostatočnej validácie HTTP požiadaviek funkciou Spam Quarantine. Úspešné zneužitie tejto chyby by mohlo útočníkovi umožniť vykonávať ľubovoľné príkazy s oprávneniami root na podkladovom operačnom systéme zasiahnutého zariadenia.
Aby však útok fungoval, musia byť splnené tri podmienky:
- zariadenie používa zraniteľnú verziu softvéru Cisco AsyncOS
- zariadenie má nakonfigurovanú funkciu Spam Quarantine
- funkcia Spam Quarantine je vystavená internetu a je z neho dostupná
Minulý mesiac výrobca sieťových zariadení odhalil, že našiel dôkazy o tom, že skupina UAT-9686 zneužívala túto zraniteľnosť už koncom novembra 2025 na nasadenie tunelovacích nástrojov, ako sú ReverseSSH (známy aj ako AquaTunnel) a Chisel, ako aj nástroja na čistenie logov s názvom AquaPurge.
Útoky sú ďalej charakterizované nasadením ľahkého Python backdooru s názvom AquaShell, ktorý je schopný prijímať kódované príkazy a vykonávať ich.
Zraniteľnosť bola teraz opravená v nasledujúcich verziách, pričom boli zároveň odstránené mechanizmy pretrvávania, ktoré boli identifikované v tejto útočnej kampani a nainštalované na zariadeniach:
Cisco Email Security Gateway
- Cisco AsyncOS Software Release 14.2 a staršie (opravené vo verzii 15.0.5-016)
- Cisco AsyncOS Software Release 15.0 (opravené vo verzii 15.0.5-016)
- Cisco AsyncOS Software Release 15.5 (opravené vo verzii 15.5.4-012)
- Cisco AsyncOS Software Release 16.0 (opravené vo verzii 16.0.4-016)
Secure Email and Web Manager
- Cisco AsyncOS Software Release 15.0 a staršie (opravené vo verzii 15.0.2-007)
- Cisco AsyncOS Software Release 15.5 (opravené vo verzii 15.5.4-007)
- Cisco AsyncOS Software Release 16.0 (opravené vo verzii 16.0.4-010)
Okrem toho Cisco vyzýva zákazníkov, aby dodržiavali odporúčania na spevnenie zabezpečenia s cieľom zabrániť prístupu z nezabezpečených sietí, umiestnili zariadenia za firewall, monitorovali webové logy pre akúkoľvek neočakávanú komunikáciu do/z týchto zariadení, zakázali HTTP pre hlavný administrátorský portál, zakázali všetky sieťové služby, ktoré nie sú potrebné, vynútili silnú formu autentifikácie koncových používateľov k zariadeniam (napr. SAML alebo LDAP) a zmenili predvolené administrátorské heslo na bezpečnejší variant.
Viac informácií tu: