Cisco đã cảnh báo người dùng về một lỗ hổng Zero-Day nghiêm trọng tối đa trong phần mềm Cisco AsyncOS đang bị khai thác tích cực bởi một tác nhân đe dọa dai dẳng nâng cao (APT) có liên hệ với Trung Quốc, được đặt tên là UAT-9686, trong các cuộc tấn công nhắm vào Cisco Secure Email Gateway và Cisco Secure Email and Web Manager.
Nhà sản xuất thiết bị mạng này cho biết họ đã nhận thức được chiến dịch xâm nhập vào ngày 10 tháng 12 năm 2025 và đã xác định một "tập hợp con giới hạn các thiết bị" có một số cổng mở ra internet. Hiện tại vẫn chưa rõ có bao nhiêu khách hàng bị ảnh hưởng.
"Cuộc tấn công này cho phép các tác nhân đe dọa thực thi các lệnh tùy ý với quyền root trên hệ điều hành cơ bản của một thiết bị bị ảnh hưởng," Cisco cho biết trong một bản tư vấn. "Cuộc điều tra đang diễn ra đã tiết lộ bằng chứng về một cơ chế duy trì quyền kiểm soát được các tác nhân đe dọa cài đặt để duy trì mức độ kiểm soát nhất định đối với các thiết bị bị xâm nhập."
Lỗ hổng chưa được vá này đang được theo dõi là CVE-2025-20393, và có điểm CVSS là 10.0. Nó liên quan đến một trường hợp xác thực đầu vào không đúng cách, cho phép các tác nhân đe dọa thực thi các lệnh độc hại với quyền ưu tiên nâng cao trên hệ điều hành cơ bản.
Tất cả các phiên bản của phần mềm Cisco AsyncOS đều bị ảnh hưởng. Tuy nhiên, để khai thác thành công, các điều kiện sau đây phải được đáp ứng đối với cả phiên bản vật lý và ảo của các thiết bị Cisco Secure Email Gateway và Cisco Secure Email and Web Manager:
- Thiết bị được cấu hình với tính năng Spam Quarantine.
- Tính năng Spam Quarantine được công khai và có thể truy cập được từ internet.
Điều đáng lưu ý là tính năng Spam Quarantine không được bật theo mặc định. Để kiểm tra xem tính năng này có được bật hay không, người dùng nên thực hiện các bước sau:
- Kết nối với giao diện quản lý web.
- Điều hướng đến Network > IP Interfaces > [Chọn Interface mà Spam Quarantine được cấu hình] (đối với Secure Email Gateway) hoặc Management Appliance > Network > IP Interfaces > [Chọn interface mà Spam Quarantine được cấu hình] (đối với Secure Email and Web Manager).
- Nếu tùy chọn Spam Quarantine được chọn, tính năng này đã được bật.
Hoạt động khai thác được Cisco quan sát thấy có từ cuối tháng 11 năm 2025, với UAT-9686 đã vũ khí hóa lỗ hổng để thả các công cụ tunneling như ReverseSSH (còn gọi là AquaTunnel) và Chisel, cũng như một tiện ích làm sạch nhật ký có tên AquaPurge. Việc sử dụng AquaTunnel trước đây đã được liên kết với các nhóm hacking Trung Quốc như APT41 và UNC5174.
Ngoài ra, một backdoor Python nhẹ có tên AquaShell cũng được triển khai trong các cuộc tấn công, có khả năng nhận các lệnh được mã hóa và thực thi chúng.
"Nó lắng nghe thụ động các yêu cầu HTTP POST không xác thực chứa dữ liệu được chế tạo đặc biệt," Cisco cho biết. "Nếu một yêu cầu như vậy được xác định, backdoor sẽ cố gắng phân tích nội dung bằng một quy trình giải mã tùy chỉnh và thực thi chúng trong shell hệ thống."
Trong trường hợp chưa có bản vá, người dùng được khuyến nghị khôi phục thiết bị của mình về cấu hình an toàn, hạn chế quyền truy cập từ internet, bảo vệ thiết bị sau tường lửa để chỉ cho phép lưu lượng truy cập từ các máy chủ đáng tin cậy, tách chức năng thư và quản lý sang các giao diện mạng riêng biệt, giám sát lưu lượng nhật ký web để phát hiện bất kỳ lưu lượng truy cập bất thường nào và tắt HTTP cho cổng quản trị chính.
Cũng nên tắt mọi dịch vụ mạng không cần thiết, sử dụng các phương pháp xác thực người dùng cuối mạnh mẽ như SAML hoặc LDAP, và thay đổi mật khẩu quản trị mặc định thành một biến thể an toàn hơn.
"Trong trường hợp xác nhận bị xâm nhập, việc xây dựng lại các thiết bị hiện là lựa chọn khả thi duy nhất để loại bỏ cơ chế duy trì quyền kiểm soát của tác nhân đe dọa khỏi thiết bị," công ty cho biết.
