Cisco je u srijedu upozorio korisnike da je primijećeno kako hakeri povezani sa Kinom zloupotrebljavaju novu zero-day ranjivost koja pogađa neke od njegovih bezbjednosnih proizvoda.
Ranjivost, koja se vodi kao CVE-2025-20393 i klasifikovana je kao kritične ozbiljnosti, pogađa uređaje koji koriste Cisco AsyncOS softver za Secure Email Gateway (ranije ESA) i Secure Email and Web Manager (ranije Content SMA).
Zero-day se može zloupotrijebiti za izvršavanje proizvoljnih komandi na osnovnom operativnom sistemu sa root privilegijama.
Eksploataciju CVE-2025-20393 otkrili su Cisco-vi Talos bezbjednosni stručnjaci. Napadi su bili usmjereni na „ograničeni podskup uređaja sa određenim portovima otvorenim ka internetu“.
Cisco Talos je napade pripisao hakeru koji se vodi pod oznakom UAT-9686, za kojeg, uz umjeren nivo pouzdanosti na osnovu alata i infrastrukture koje koristi, vjeruje da je kineski državno sponzorisani APT.
Prema navodima Talosa, napadi, otkriveni 10. decembra, traju najmanje od kraja novembra.
Kampanja je uključivala AquaShell, backdoor koji obezbjeđuje prilagođeni mehanizam perzistencije, AquaPurge, alat namijenjen čišćenju log fajlova, kao i AquaTunnel, koji uspostavlja reverznu SSH vezu za daljinski pristup kompromitovanom sistemu.
Pored toga, Talos je primijetio i Chisel, open source alat za tunelovanje.
„Chisel omogućava napadaču da prosljeđuje saobraćaj kroz kompromitovani edge uređaj, čime mu se olakšava prelazak sa tog uređaja u interno okruženje“, objasnio je Talos.
Cisco je objavio indikatore kompromitacije (IoC) kako bi pomogao korisnicima da otkriju potencijalne napade.
Savjetodavno obavještenje kompanije ne pominje softverske zakrpe – što sugeriše da CVE-2025-20393 i dalje nije zakrpljen – i izričito navodi da nisu identifikovana nikakva privremena rješenja. Ipak, kompanija je podijelila određene mjere ublažavanja.
CISA je dodala CVE-2025-20393 u svoj katalog poznatih aktivno zloupotrijebljenih ranjivosti (KEV) i naložila saveznim agencijama da je saniraju do 24. decembra.
Drugi napadi u stvarnom okruženju
Kompanija za obavještavanje o prijetnjama GreyNoise saopštila je u srijedu da je primijetila još jednu veliku kampanju usmjerenu na Cisco i Palo Alto Networks proizvode. Međutim, ta aktivnost se sastoji od automatizovanih pokušaja prijave, a ne od eksploatacije ranjivosti.
SonicWall je takođe u srijedu upozorio korisnike na zloupotrebu zero-day ranjivosti.
Ranjivost, eskalacija privilegija koja pogađa SMA1000 uređaje, vodi se kao CVE-2025-40602 i korišćena je u kombinaciji sa CVE-2025-23006 za neautentifikovano udaljeno izvršavanje koda sa root privilegijama.
Izvor: SecurityWeek
