Cisco je danas upozorio korisnike na nekrpljenu zero-day ranjivost maksimalne ozbiljnosti u Cisco AsyncOS-u, koja se aktivno zloupotrebljava u napadima usmjerenim na Secure Email Gateway (SEG) i Secure Email and Web Manager (SEWM) uređaje.
Ova još uvijek nezakrpljena zero-day ranjivost (CVE-2025-20393) pogađa isključivo Cisco SEG i Cisco SEWM uređaje sa nestandardnim konfiguracijama, u situacijama kada je funkcija Spam Quarantine omogućena i izložena internetu.
Cisco Talos, kompanijski tim za obavještajne podatke o prijetnjama, vjeruje da iza napada stoji kineska grupa hakera koju prati pod oznakom UAT-9686. Ovi napadi zloupotrebljavaju bezbjednosni propust za izvršavanje proizvoljnih komandi sa root privilegijama i instalaciju postojanih backdoor alata AquaShell, kao i malicioznih reverse SSH tunela AquaTunnel i Chisel, te alata za brisanje logova pod nazivom AquaPurge. Indikatori kompromitacije dostupni su u ovom GitHub repozitorijumu.
Alati poput AquaTunnel-a i drugi maliciozni alati korišćeni u ovim napadima ranije su povezivani i sa drugim kineskim državnim hakerskim grupama, uključujući UNC5174 i APT41.
„Sa umjerenim stepenom pouzdanosti procjenjujemo da je protivnik, kojeg pratimo kao UAT-9686, napredni persistentni akter prijetnje (APT) povezan sa Kinom, čija upotreba alata i infrastruktura odgovara drugim kineskim grupama hakera“, navodi Cisco Talos u savjetodavnom upozorenju objavljenom u srijedu.
„U okviru ove aktivnosti, UAT-9686 implementira prilagođeni mehanizam postojanosti koji pratimo pod nazivom AquaShell, uz dodatne alate namijenjene za reverse tuneliranje i čišćenje logova.“
Iako je kompanija ove napade uočila 10. decembra, kampanja je aktivna najmanje od kraja novembra 2025. godine.
Ograničavanje pristupa ranjivim uređajima
Dok Cisco još nije objavio bezbjednosne zakrpe za ovu zero-day ranjivost, administratorima je savjetovano da obezbijede i ograniče pristup ranjivim uređajima. Preporuke uključuju ograničavanje pristupa sa interneta, dozvoljavanje konekcija samo sa pouzdanih hostova i postavljanje uređaja iza firewall-a radi filtriranja saobraćaja.
Administratorima se takođe savjetuje razdvajanje funkcija obrade e-pošte i upravljanja, praćenje web logova radi uočavanja neobičnih aktivnosti i zadržavanje logova u svrhu istrage.
Dodatno, preporučuje se isključivanje nepotrebnih servisa, redovno ažuriranje sistema na najnoviju verziju Cisco AsyncOS softvera, primjena snažnih metoda autentifikacije poput SAML-a ili LDAP-a, promjena podrazumijevanih lozinki, kao i korišćenje SSL ili TLS sertifikata za zaštitu upravljačkog saobraćaja.
Cisco je zatražio od korisnika koji žele da provjere da li su njihovi uređaji već kompromitovani da otvore slučaj kod Cisco Technical Assistance Center-a (TAC) i snažno preporučio praćenje smjernica iz sekcije Recommendations u današnjem bezbjednosnom upozorenju.
„Ako je utvrđeno da je web upravljački interfejs ili Spam Quarantine port bio izložen i dostupan sa interneta, Cisco snažno preporučuje sprovođenje višekoračnog procesa za vraćanje uređaja u bezbjednu konfiguraciju, kada je to moguće“, upozorio je Cisco.
„U slučajevima kada vraćanje uređaja nije moguće, Cisco preporučuje kontaktiranje TAC-a radi provjere da li je uređaj kompromitovan. U slučaju potvrđene kompromitacije, ponovna izgradnja uređaja je trenutno jedina održiva opcija za potpuno uklanjanje mehanizma postojanosti hakera sa uređaja.“
Izvor: BleepingComputer
