Клиентам Cisco официально сообщено о критической 0-day уязвимости в Cisco AsyncOS, которая уже активно эксплуатируется для атак на устройства Cisco Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM). Поскольку исправление пока не выпущено, инцидент требует немедленного реагирования со стороны администраторов и команд информационной безопасности.
0-day уязвимость Cisco AsyncOS: суть проблемы и CVE-2025-20393
Уязвимость получила идентификатор CVE-2025-20393 и относится к классу 0-day, то есть эксплуатируется злоумышленниками до появления патча. По данным Cisco, баг позволяет злоумышленнику выполнять произвольные команды с правами root на уязвимом устройстве, что фактически дает полный контроль над системой.
Важно, что под угрозой находятся не все инсталляции Cisco SEG и SEWM, а только системы с определенной конфигурацией: должна быть включена функция помещения спама в карантин, а соответствующий веб-интерфейс или порт карантина должны быть доступны из интернета. Такая схема характерна для сред, где пользователям предоставляют самостоятельный доступ к карантину для управления заблокированными письмами.
Кто атакует: UAT-9686 и связанная вредоносная инфраструктура
Группа аналитиков Cisco Talos связывает эксплуатацию CVE-2025-20393 с китайской APT-группировкой, отслеживаемой под обозначением UAT-9686. По оценке специалистов, с умеренной степенью уверенности эта активность коррелирует с уже известными китайскими кибероператорами, как по используемым инструментам, так и по инфраструктуре командных серверов.
После успешного взлома устройств SEG или SEWM злоумышленники разворачивают устойчивые бэкдоры и инструменты туннелирования: собственный механизм постоянного присутствия AquaShell, а также малварь AquaTunnel и Chisel для организации обратных SSH-туннелей. Для сокрытия следов применяется утилита очистки журналов AquaPurge. Ранее AquaTunnel уже связывали с другими китайскими группировками, в том числе UNC5174 и APT41. Индикаторы компрометации (IoC) Cisco опубликовала на GitHub, что позволяет автоматизировать поиск следов атак в инфраструктуре.
Хронология атак и масштабы кампании
По информации Cisco Talos, активная эксплуатация уязвимости была выявлена 10 декабря 2025 года, однако анализ событий указывает, что кампания могла начаться как минимум в конце ноября. Такой временной лаг типичен для целевых атак: злоумышленники стараются максимально долго сохранять скрытое присутствие, используя почтовые шлюзы как удобную точку для перехвата, модификации или перенаправления трафика электронной почты.
Какие устройства Cisco под угрозой
Под воздействием CVE-2025-20393 находятся:
— Cisco Secure Email Gateway (SEG) на базе Cisco AsyncOS;
— Cisco Secure Email and Web Manager (SEWM) с включенной функцией карантина спама и внешним доступом к ней.
Ключевой риск заключается в том, что сегмент, традиционно воспринимаемый как «служебный» — почтовый шлюз — превращается в точку входа в корпоративную сеть. Компрометация SEG или SEWM может привести к дальнейшему распространению внутри инфраструктуры, краже конфиденциальной переписки и внедрению вредоносных вложений в легитимные цепочки писем.
Рекомендации Cisco по защите SEG и SEWM
Сетевые меры и ограничение доступа
Пока патч недоступен, Cisco настоятельно рекомендует минимизировать поверхность атаки за счет сетевых ограничений. Среди первоочередных мер:
— закрыть прямой доступ из интернета к веб-интерфейсу управления устройством и портам карантина спама;
— разрешать доступ только с доверенных хостов (администраторские станции, bastion-host’ы);
— разместить SEG/SEWM за межсетевыми экранами с жесткой фильтрацией входящего и исходящего трафика;
— по возможности разнести сети обработки почтового трафика и сети управления на разные VLAN/сегменты.
Укрепление аутентификации и мониторинг
Cisco рекомендует усилить защиту управленческого контура и процессов аудита:
— отключить ненужные службы и интерфейсы, сократив количество потенциальных точек входа;
— поддерживать устройства в актуальном состоянии, оперативно устанавливая все доступные обновления;
— применять enterprise-уровня, такие как SAML или LDAP, а также многофакторную аутентификацию там, где это возможно;
— изменить все пароли по умолчанию и использовать уникальные, сложные учетные данные для администраторских аккаунтов;
— включить и правильно настроить шифрование управляющего трафика с помощью SSL/TLS;
— активно мониторить журналы событий и сетевой активности, уделяя внимание аномалиям и подозрительным SSH-туннелям;
— долговременно сохранять логи для возможного последующего расследования инцидентов.
Организациям, которые подозревают компрометацию, Cisco рекомендует открыть заявку в Центре технической поддержки Cisco (TAC) для углубленной проверки устройств и получения индивидуальных рекомендаций по восстановлению безопасной конфигурации.
Текущая волна атак на Cisco AsyncOS подчеркивает, насколько критично рассматривать почтовые шлюзы и системы управления ими как полноценные высокоценные активы. Использование принципа минимально необходимого доступа, строгая сегментация сети, регулярный аудит конфигураций и постоянный мониторинг журналов позволяют существенно снизить риск успешной эксплуатации даже 0-day уязвимостей. Компаниям, полагающимся на Cisco Secure Email Gateway и SEWM, целесообразно как можно быстрее провести ревизию своих конфигураций, реализовать рекомендованные меры защиты и выстроить устойчивый процесс реагирования на инциденты в области кибербезопасности.
