Cisco hôm thứ Năm đã phát hành các bản cập nhật bảo mật cho một lỗ hổng nghiêm trọng nhất ảnh hưởng đến Cisco AsyncOS Software cho Cisco Secure Email Gateway và Cisco Secure Email and Web Manager, gần một tháng sau khi công ty tiết lộ rằng nó đã bị khai thác như một Zero-Day bởi một nhóm tấn công APT có liên kết với Trung Quốc, được đặt tên là UAT-9686.
Lỗ hổng, được theo dõi là CVE-2025-20393 (điểm CVSS: 10.0), là một lỗ hổng thực thi lệnh từ xa (RCE) phát sinh do việc xác thực không đầy đủ các yêu cầu HTTP bởi tính năng Spam Quarantine. Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công thực thi các lệnh tùy ý với đặc quyền root trên hệ điều hành cơ bản của một thiết bị bị ảnh hưởng.
Tuy nhiên, để cuộc tấn công thành công, ba điều kiện phải được đáp ứng:
- Thiết bị đang chạy một bản phát hành Cisco AsyncOS Software dễ bị tổn thương.
- Thiết bị được cấu hình với tính năng Spam Quarantine.
- Tính năng Spam Quarantine được phơi bày và có thể truy cập từ internet.
Tháng trước, hãng thiết bị mạng tiết lộ rằng họ đã tìm thấy bằng chứng UAT-9686 khai thác lỗ hổng từ cuối tháng 11 năm 2025 để thả các công cụ tạo đường hầm như ReverseSSH (còn gọi là AquaTunnel) và Chisel, cùng với tiện ích dọn dẹp nhật ký có tên AquaPurge.
Các cuộc tấn công cũng được đặc trưng bởi việc triển khai một backdoor Python nhẹ có tên AquaShell, có khả năng nhận các lệnh được mã hóa và thực thi chúng.
Lỗ hổng hiện đã được khắc phục trong các phiên bản sau, ngoài việc loại bỏ các cơ chế duy trì đã được xác định trong chiến dịch tấn công này và được cài đặt trên các thiết bị:
Cisco Email Security Gateway
- Cisco AsyncOS Software Release 14.2 và các phiên bản cũ hơn (Đã khắc phục trong 15.0.5-016)
- Cisco AsyncOS Software Release 15.0 (Đã khắc phục trong 15.0.5-016)
- Cisco AsyncOS Software Release 15.5 (Đã khắc phục trong 15.5.4-012)
- Cisco AsyncOS Software Release 16.0 (Đã khắc phục trong 16.0.4-016)
Secure Email and Web Manager
- Cisco AsyncOS Software Release 15.0 và các phiên bản cũ hơn (Đã khắc phục trong 15.0.2-007)
- Cisco AsyncOS Software Release 15.5 (Đã khắc phục trong 15.5.4-007)
- Cisco AsyncOS Software Release 16.0 (Đã khắc phục trong 16.0.4-010)
Ngoài ra, Cisco cũng khuyến nghị khách hàng tuân thủ các hướng dẫn bảo mật (hardening guidelines) để ngăn chặn truy cập từ các mạng không an toàn, bảo vệ các thiết bị phía sau tường lửa (firewall), giám sát lưu lượng web log để tìm bất kỳ lưu lượng truy cập không mong muốn nào đến/từ các thiết bị, tắt HTTP cho cổng quản trị chính (main administrator portal), tắt mọi dịch vụ mạng không cần thiết, thực thi một hình thức xác thực người dùng cuối mạnh mẽ cho các thiết bị (ví dụ: SAML hoặc LDAP), và thay đổi mật khẩu quản trị viên mặc định thành một biến thể an toàn hơn.
