Cisco advarer om aktivt udnyttet 0-dag i AsyncOS
Cisco har udsendt en kritisk advarsel om en endnu ikke rettet sårbarhed i Cisco AsyncOS, der allerede udnyttes i angreb mod Secure Email Gateway (SEG) og Secure Email and Web Manager (SEWM).
Sårbarheden, der har fået id-nummer EUVD-2025-203911 / CVE-2025-20393, har en CVSS-score på 10. Den rammer kun systemer med ikke-standard konfigurationer, hvor funktionen Spam Quarantine er aktiveret og eksponeret direkte mod internettet. EPSS-scoren er pt. 0, men den vil formentlig stige i de kommende dage.
Det skriver Bleeping Computer og en række andre medier.
Angrebene og aktørerne
Ifølge Cisco Talos er angrebene knyttet til en kinesisk APT-gruppe, UAT-9686, som anvender en række avancerede værktøjer til at opnå vedvarende adgang og skjule spor. Blandt de observerede værktøjer er:
- AquaShell – persistence-mekanisme
- AquaTunnel og Chisel – reverse SSH tunneling
- AquaPurge – log-sletningsværktøj
Disse værktøjer er tidligere set i forbindelse med andre statsstøttede grupper som UNC5174 og APT41, hvilket understøtter vurderingen af en kinesisk tilknytning.
Angrebskampagnen har været aktiv siden slutningen af november 2025, men blev først opdaget af Cisco den 10. december, hvor Cisco blev opmærksom på en ny kampagne, der målrettede en begrænset delmængde af enheder med visse porte åbne mod internettet, som kører Cisco AsyncOS-software til Cisco Secure Email Gateway & Cisco Secure Email og Web Manager.
Sårbarheden gør det muligt for trusselsaktører at udføre vilkårlige kommandoer med root-rettigheder.
Ingen patch
Cisco har endnu ikke frigivet en opdatering, men anbefaler en række tiltag for at reducere risikoen:
- Begræns internetadgang til berørte enheder
- Placer systemerne bag firewall og tillad kun trafik fra betroede hosts
- Adskil mailhåndtering og management-funktioner
- Overvåg web-logs for unormal aktivitet og gem logs til efterforskning
- Deaktiver unødvendige services
- Implementer stærk autentifikation (SAML, LDAP)
- Skift standardadgangskoder og brug SSL/TLS til management-trafik
Hvis Spam Quarantine-porten eller web management-interfacet er eksponeret mod internettet, anbefaler Cisco en multitrinsproces for at genskabe en sikker konfiguration. Hvis kompromittering bekræftes, er den eneste løsning i øjeblikket at "rebuilde" enheden.
Cisco har offentliggjort IoCs i et GitHub-repository, som bør anvendes til at kontrollere miljøet. Bleeping Computer skriver, at organisationer opfordres til at åbne en TAC-sag hos Cisco for yderligere assistance.
Alvoren af sårbarheden understreges af, at CISA i sit katalog over kendte udnyttede sårbarheder har givet amerikanske føderale myndigheder frem til jul til at håndtere den.
Læs mere
- https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/
- https://www.helpnetsecurity.com/2025/12/17/cisco-secure-email-cve-2025-20393/
- https://www.theregister.com/2025/12/17/attacks_pummeling_cisco_0day/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4
- https://blog.talosintelligence.com/uat-9686/