Cisco отстрани zero-day RCE уязвимост, активно използвана срещу Secure Email Gateway
Cisco публикува корекции за критична уязвимост с максимална тежест, засягаща Cisco Secure Email Gateway и Secure Email and Web Manager.
Преди отстраняването ѝ, уязвимостта е била използвана като zero-day от APT група с връзки към Китай, което подчертава колко атрактивни остават email защитните системи като първоначална точка за компромис.
Какво се случи
Уязвимостта, идентифицирана като CVE-2025-20393 с CVSS оценка 10.0, позволява отдалечено изпълнение на команди вследствие на некоректна обработка на HTTP заявки в Spam Quarantine функционалността.
При успешна експлоатация атакуващият може да изпълнява произволни команди с root права върху устройството, което води до пълен контрол над системата.
Условия за експлоатация
Атаката е възможна само ако са изпълнени едновременно следните условия:
Устройството използва уязвима версия на Cisco AsyncOS
Функцията Spam Quarantine е активирана
Интерфейсът е достъпен директно от интернет
Тази конфигурация се среща често в среди, където удобството и бързият достъп имат приоритет пред минимизирането на експозицията.
Активна злоупотреба
Cisco потвърждава, че експлоатацията е наблюдавана още в края на ноември 2025 г.
Атаките включват:
Инсталиране на тунелиращи инструменти за устойчив достъп
Лек backdoor за дистанционно изпълнение на команди
Механизми за почистване на логове с цел затрудняване на анализа
Това поведение е характерно за дългосрочни операции, а не за инцидентни атаки.
Засегнати продукти и корекции
Cisco Secure Email Gateway
AsyncOS 14.2 и по-стари . Коригирано в 15.0.5-016
AsyncOS 15.0 . Коригирано в 15.0.5-016
AsyncOS 15.5 . Коригирано в 15.5.4-012
AsyncOS 16.0 . Коригирано в 16.0.4-016
Secure Email and Web Manager
AsyncOS 15.0 и по-стари . Коригирано в 15.0.2-007
AsyncOS 15.5 . Коригирано в 15.5.4-007
AsyncOS 16.0 . Коригирано в 16.0.4-010
Препоръчителни мерки
Освен прилагане на корекциите, Cisco препоръчва:
Ограничаване на достъпа зад защитна стена
Наблюдение на логове за нетипичен трафик
Деактивиране на ненужни услуги
Прилагане на силна автентикация (SAML, LDAP)
Ограничаване или изключване на HTTP административни интерфейси
Позицията на DIAMATIX
От оперативна гледна точка този инцидент потвърждава добре познат модел.
Email gateway-ите са част от периметъра и трябва да се третират като критична инфраструктура, а не просто като филтър.
Основни изводи:
Zero-day атаки често целят контрол и устойчив достъп, не незабавна кражба на данни
Периметровите устройства често остават извън обхвата на поведенчески мониторинг
Компромис на защитна инфраструктура води до сериозни слепи зони за SOC екипите
В реални среди подобен пробив може да:
Подкопае доверието в служебната комуникация
Послужи като отправна точка за последващи атаки
Намали видимостта върху phishing и credential abuse кампании
Заключение
Случаят показва, че защитните системи сами по себе си са високорискови активи.
Навременното обновяване, контролът на експозицията и постоянната оперативна видимост остават ключови за предотвратяване на тихи, дългосрочни компромиси.
Хронология на уязвимостта
Края на ноември 2025 г. – Наблюдавана първоначална експлоатация в реални атаки
Декември 2025 г. – Разследване от страна на производителя потвърждава злоупотреба с неизвестна до момента уязвимост
16 януари 2026 г. – Публикувани са корекции за засегнатите компоненти на Cisco Secure Email Gateway
След публичното оповестяване – Издадени са допълнителни препоръки за втвърдяване и ограничаване на експозицията
Trusted · Innovative · Vigilant
Източници
Официален бюлетин по сигурността на Cisco за CVE-2025-20393
Публични CVE регистри и CVSS оценка (NVD / MITRE)
Публикации на Cisco относно активна експлоатация на Secure Email Gateway
Независими изследвания за APT групи с връзки към Китай и атаки срещу email инфраструктура
Анализи на техники за пост-експлоатация при компромис на защитни email системи
Получавайте актуални новини и експертни анализи за киберсигурност
