Cisco warnt offiziell vor einer kritischen 0‑Day‑Sicherheitslücke in Cisco AsyncOS, die bereits aktiv gegen Cisco Secure Email Gateway (SEG) und Cisco Secure Email and Web Manager (SEWM) ausgenutzt wird. Da zum Zeitpunkt der Meldung noch kein Sicherheitsupdate verfügbar ist, sind Administratoren und Security-Teams auf kurzfristige Notfallmaßnahmen angewiesen, um Kompromittierungen zu verhindern oder einzudämmen.
0‑Day CVE-2025-20393 in Cisco AsyncOS: Angriffsszenario und Auswirkungen
Die Schwachstelle trägt die Kennung CVE-2025-20393 und ermöglicht Angreifern laut Cisco die Ausführung beliebiger Befehle mit Root-Rechten auf betroffenen Appliances. Damit erlangen sie faktisch vollständige Kontrolle über das System – von der Manipulation des Mailflows bis zum Nachladen zusätzlicher Malware.
Die Lücke betrifft nicht jede Installation von SEG oder SEWM, sondern nur Umgebungen mit einer spezifischen Konfiguration: Der Spam-Quarantäne‑Mechanismus muss aktiviert sein und der zugehörige Webzugang beziehungsweise Quarantäne‑Port muss direkt aus dem Internet erreichbar sein. Typischerweise ist dies in Szenarien der Fall, in denen Endnutzer selbstständig auf ihren Quarantänebereich zugreifen, um fälschlich blockierte Nachrichten freizugeben.
Aus sicherheitstechnischer Sicht entsteht dadurch eine gefährliche Konstellation: Ein eigentlich als „Infrastrukturkomponente“ betrachteter Mail-Gateway wird zu einem exponierten Angriffsportal, das bei erfolgreicher Ausnutzung als Sprungbrett in interne Netze dienen kann.
Angreifergruppe UAT-9686 und Tooling: AquaShell, AquaTunnel und Chisel
Das Threat-Intelligence-Team Cisco Talos führt die beobachteten Angriffe auf eine chinesische APT-Gruppe zurück, die unter der Bezeichnung UAT-9686 verfolgt wird. Cisco sieht mit „moderater Sicherheit“ Überschneidungen zu bereits bekannten chinesischen Akteuren, sowohl hinsichtlich der verwendeten Tools als auch der Command‑and‑Control‑Infrastruktur.
Nach erfolgreicher Kompromittierung von SEG- oder SEWM-Systemen installieren die Angreifer persistente Backdoors und Tunneling‑Werkzeuge. Dazu zählen unter anderem der Persistenzmechanismus AquaShell sowie die Malware AquaTunnel und Chisel zur Einrichtung von Reverse‑SSH‑Tunneln und versteckten Kommunikationskanälen. Zur Spurenverwischung kommt das Log‑Bereinigungswerkzeug AquaPurge zum Einsatz. AquaTunnel wurde bereits zuvor in Kampagnen weiterer Gruppen beobachtet, darunter UNC5174 und APT41, was auf eine Wiederverwendung von Werkzeugketten innerhalb des gleichen Ökosystems hindeutet.
Indikatoren einer Kompromittierung (Indicators of Compromise, IoC) hat Cisco auf GitHub bereitgestellt. Diese IoCs können in SIEM‑Systeme, Intrusion Detection/Prevention Systeme (IDS/IPS) oder EDR‑Lösungen integriert werden, um kompromittierte Systeme schneller zu identifizieren.
Zeitleiste der Angriffe und Einordnung in die Bedrohungslage
Nach Angaben von Cisco Talos wurde die aktive Ausnutzung der 0‑Day‑Lücke am 10. Dezember 2025 erstmals klar erkannt. Die forensische Auswertung legt jedoch nahe, dass die Kampagne bereits Ende November begonnen haben könnte. Ein solches „Dwell Time“-Fenster ist für APT‑Kampagnen typisch: Zielgerichtete Angreifer versuchen, ihre Präsenz möglichst lange verborgen zu halten, um E-Mail-Verkehr zu überwachen, Daten abzugreifen oder für spätere Operationen vorzubereiten.
Branchenberichte wie der Verizon Data Breach Investigations Report (DBIR) und Analysen von Mandiant zeigen seit Jahren, dass E-Mail zu den wichtigsten initialen Angriffsvektoren zählt – sei es über Phishing oder über Schwachstellen in Gateway‑Systemen. Die aktuelle Ausnutzung von CVE-2025-20393 fügt sich in den Trend ein, perimeternahe Appliances gezielt zu kompromittieren, wie es zuvor unter anderem bei Exchange‑Servern und VPN‑Gateways beobachtet wurde.
Betroffene Cisco-Produkte und spezifische Risiken
Von CVE-2025-20393 betroffen sind insbesondere:
— Cisco Secure Email Gateway (SEG) auf Basis von Cisco AsyncOS;
— Cisco Secure Email and Web Manager (SEWM), sofern die Spam-Quarantäne aktiviert und aus dem Internet erreichbar ist.
Damit rückt ein oft unterschätzter Infrastrukturbereich in den Fokus: Der E-Mail-Gateway wird in vielen Organisationen nicht als High-Value Asset eingestuft, obwohl er zentrale Kommunikationsströme kontrolliert. Eine erfolgreiche Kompromittierung kann weitreichende Folgen haben – vom unbemerkten Mitlesen und Exfiltrieren vertraulicher Korrespondenz über das Einschleusen manipulierter Anhänge bis hin zum lateralen Movement in weitere Netzwerksegmente.
Sofortmaßnahmen: Netzwerkzugang beschränken und Angriffsfläche reduzieren
Solange kein offizieller Patch verfügbar ist, empfiehlt Cisco dringend, die Angriffsfläche der betroffenen Systeme zu minimieren. Prioritäre Schritte umfassen:
— Entfernung direkter Internet-Exponierung: Web-Interface der Verwaltung und Ports der Spam-Quarantäne sollten nicht mehr aus dem öffentlichen Internet erreichbar sein.
— Zugriff nur von vertrauenswürdigen Hosts: Verwaltungskonsolen und Benutzerzugriffe auf Quarantänebereiche ausschließlich über dedizierte Admin-Stationen, Bastion Hosts oder VPN zulassen.
— Strikte Firewall-Regeln: SEG- und SEWM-Systeme hinter Firewalls platzieren, eingehenden und ausgehenden Verkehr granular filtern und unnötige Protokolle konsequent blockieren.
— Netzwerksegmentierung: Mail-Verarbeitungsnetz und Administrationsnetz in getrennte VLANs oder Security-Zonen aufteilen, um Bewegungen eines Angreifers nach erfolgreicher Kompromittierung zu erschweren.
Härtung, Protokollierung und Incident Response für Cisco SEG und SEWM
Neben der Netzwerksegmentierung sollten Organisationen ihre Cisco-Mailgateways gezielt härten und die Überwachung verstärken:
— Deaktivierung unnötiger Dienste: Nicht benötigte Management-Interfaces und Protokolle abschalten, um potenzielle Einstiegspunkte zu reduzieren.
— Starke Authentifizierung: Wenn möglich SAML, LDAP/LDAPS und Multi-Faktor-Authentifizierung (MFA) für Administrator- und Benutzerzugänge einsetzen. Standardpasswörter müssen zwingend ersetzt und komplexe, einzigartige Kennwörter verwendet werden.
— Verschlüsselung des Management-Traffics: Zugriffe auf Verwaltungsoberflächen ausschließlich über SSL/TLS, mit aktuellen Protokollversionen und gehärteten Cipher Suites.
— Logging und Überwachung: Umfassende Protokollierung aktivieren, Logs langfristig auf zentralen Systemen (z. B. SIEM) speichern und gezielt nach Anomalien, verdächtigen SSH‑Verbindungen und Hinweisen auf AquaShell, AquaTunnel, Chisel oder AquaPurge durchsuchen.
— Zusammenarbeit mit Cisco TAC: Bei Verdacht auf eine Kompromittierung sollte umgehend ein Ticket beim Cisco Technical Assistance Center (TAC) eröffnet werden, um forensische Analysen, Bereinigung und Wiederherstellung einer sicheren Konfiguration professionell zu begleiten.
Die aktuelle Angriffswelle auf Cisco AsyncOS zeigt deutlich, dass E-Mail-Gateways und ihre Managementsysteme als kritische Kernkomponenten der Sicherheitsarchitektur behandelt werden müssen. Organisationen, die SEG oder SEWM einsetzen, sollten zeitnah ihre Konfigurationen überprüfen, Internet-Exponierung kritisch hinterfragen und Empfehlungen wie Least Privilege, strikte Segmentierung, konsequente Protokollierung und etablierte Incident-Response-Prozesse umsetzen. Wer diese Grundprinzipien verankert, reduziert nicht nur das Risiko durch CVE-2025-20393, sondern stärkt seine Resilienz gegenüber zukünftigen 0‑Day‑Exploits und zielgerichteten APT-Kampagnen insgesamt.
