Критична 0-day уразливість у Cisco AsyncOS, позначена як CVE-2025-20393, уже використовується у реальних атаках проти Cisco Secure Email Gateway (SEG) та Secure Email and Web Manager (SEWM). Відсутність офіційного виправлення робить інцидент особливо небезпечним і вимагає негайних тимчасових заходів захисту з боку адміністраторів та команд кібербезпеки.
Суть уразливості CVE-2025-20393 в Cisco AsyncOS
За інформацією Cisco, експлойт CVE-2025-20393 дозволяє зловмиснику виконувати довільні команди з правами root на вразливому пристрої. Це означає повний контроль над системою: від зміни конфігурацій і підміни трафіку до встановлення стійких бэкдорів та розширення присутності в мережі.
Важливо, що під удар потрапляють не всі інсталяції SEG/SEWM, а лише ті, де увімкнено карантин спаму, а веб-інтерфейс або порт доступу до карантину відкриті в Інтернет. Така конфігурація характерна для організацій, які надають користувачам самообслуговування для роботи з затриманими листами. У подібних сценаріях поштовий шлюз часто помилково вважають другорядним сервісом, хоча насправді він є критично важливою точкою контролю електронної пошти.
UAT-9686: підозрювана китайська APT-група та інструментарій атаки
Аналітики Cisco Talos пов’язують експлуатацію CVE-2025-20393 з імовірною китайською APT-групою UAT-9686. За їх оцінками, тактика, техніки та інфраструктура командно-контрольних серверів узгоджуються з активністю інших відомих китайських угруповань.
Після компрометації SEG або SEWM атакувальники розгортають набір спеціалізованих інструментів: AquaShell як механізм стійкої присутності, AquaTunnel та Chisel для побудови зворотних SSH-тунелів, а також утиліту AquaPurge для видалення журналів і приховування слідів. AquaTunnel раніше вже фігурував у кампаніях, пов’язаних з групами UNC5174 та APT41, що посилює підозри щодо походження операції. Cisco опублікувала індикатори компрометації (IoC) на GitHub, що дає змогу автоматизувати їхнє виявлення в корпоративних середовищах.
Хронологія та можливі цілі атак
За даними Cisco Talos, активна експлуатація була зафіксована 10 грудня 2025 року, однак аналіз артефактів свідчить, що кампанія могла стартувати ще в кінці листопада. Така затримка між початком атак і їхнім виявленням типова для цільових операцій рівня APT, де ключовим завданням є довгострокове приховане перебування в інфраструктурі жертви.
Компрометовані поштові шлюзи є привабливою ціллю: вони дозволяють перехоплювати, модифікувати та перенаправляти листи, вбудовувати шкідливі вкладення в існуючі ланцюжки кореспонденції та збирати розвіддані про внутрішні бізнес-процеси. За даними галузевих звітів з кібербезпеки, електронна пошта стабільно залишається одним із основних векторів первинного проникнення, тому захоплення SEG/SEWM істотно спрощує подальший рух зловмисника всередині мережі.
Які пристрої Cisco під загрозою
Під вплив CVE-2025-20393 потрапляють такі продукти:
— Cisco Secure Email Gateway (SEG) на базі Cisco AsyncOS;
— Cisco Secure Email and Web Manager (SEWM) з увімкненим карантином спаму та зовнішнім доступом до нього.
Ризик полягає в тому, що службовий сегмент інфраструктури — поштовий шлюз — перетворюється на повноцінну точку входу до корпоративної мережі. Після захоплення SEG/SEWM зловмисники можуть розвивати атаку: рухатися до внутрішніх серверів, викрадати конфіденційні листи, впроваджувати фішингові кампанії з легітимних доменів компанії.
Рекомендації Cisco: як тимчасово захистити SEG та SEWM
Мережеве обмеження доступу та сегментація
Оскільки офіційний патч ще не доступний, Cisco рекомендує максимально зменшити поверхню атаки на рівні мережі. До першочергових кроків належать:
— закриття прямого доступу з Інтернету до веб-інтерфейсу керування та портів карантину спаму;
— дозвіл доступу лише з довірених хостів (адміністративні станції, bastion-host’и);
— розміщення SEG/SEWM за міжмережевими екранами з жорсткою фільтрацією вхідного й вихідного трафіку;
— сегментація мережі — розведення поштового трафіку та мережі адміністрування по різних VLAN чи окремих сегментах.
Посилення аутентифікації, оновлення та моніторинг
Другий блок заходів стосується керування доступом та спостережності:
— відключення зайвих служб і інтерфейсів для скорочення потенційних точок входу;
— підтримання систем в актуальному стані шляхом оперативного встановлення всіх доступних оновлень ПЗ;
— використання корпоративних механізмів аутентифікації (SAML, LDAP) у поєднанні з мультифакторною аутентифікацією там, де це можливо;
— повна відмова від паролів за замовчуванням і застосування унікальних складних облікових даних для адміністративних облікових записів;
— коректне налаштування шифрування керуючого трафіку (SSL/TLS);
— активний моніторинг журналів подій та мережевої активності з акцентом на підозрілі SSH-тунелі й аномальні запити до веб-інтерфейсу;
— довгострокове зберігання логів для подальшого форензик-аналізу у разі інциденту.
Організаціям, які підозрюють можливу компрометацію, рекомендовано негайно звернутися до Центру технічної підтримки Cisco (TAC) для глибокої перевірки пристроїв, валідації конфігурацій та розробки плану відновлення.
Поточна хвиля атак на Cisco AsyncOS демонструє, що поштові шлюзи мають розглядатися як високовартісні активи, а не як допоміжна інфраструктура. Впровадження принципу мінімально необхідних привілеїв, жорстка сегментація мережі, регулярний аудит налаштувань і безперервний моніторинг журналів суттєво знижують шанси успішної експлуатації навіть 0-day уразливостей. Компаніям, які покладаються на Cisco Secure Email Gateway та SEWM, доцільно вже зараз переглянути поточні конфігурації, застосувати рекомендовані компенсувальні заходи та посилити процеси реагування на інциденти, щоб зберегти цілісність бізнес-комунікацій і захистити критичні дані.
