Η Cisco επιδιορθώνει τελικά το AsyncOS zero-day που εκμεταλλεύεται από τον Νοέμβριο

Η Cisco επιδιορθώνει επιτέλους ένα Cisco AsyncOS zero-day μέγιστης σοβαρότητας, το οποίο εκμεταλλεύεται σε επιθέσεις κατά των συσκευών Secure Email Gateway (SEG) και Secure Email and Web Manager (SEWM) από τον Νοέμβριο του 2025.

Όπως εξήγησε η Cisco τον Δεκέμβριο, όταν αποκάλυψε την ευπάθεια (CVE-2025-20393), επηρεάζει μόνο τις συσκευές Cisco SEG και Cisco SEWM με μη τυπικές διαμορφώσεις όταν η δυνατότητα Spam Quarantine είναι ενεργοποιημένη και εκτίθεται στο Διαδίκτυο.

“Οι συσκευές Cisco Secure Email Gateway, Secure Email, AsyncOS Software και Web Manager περιέχουν μια ακατάλληλη ευπάθεια επικύρωσης εισόδου που επιτρέπει στους παράγοντες απειλών να εκτελούν αυθαίρετες εντολές με δικαιώματα root στο υποκείμενο λειτουργικό σύστημα μιας επηρεαζόμενης συσκευής”, δήλωσε η Cisco.

Λεπτομερείς οδηγίες για την αναβάθμιση ευάλωτων συσκευών σε μια σταθερή έκδοση λογισμικού είναι διαθέσιμες στο αυτή η συμβουλή ασφαλείας.

Η Cisco Talos, η ερευνητική ομάδα πληροφοριών απειλών της εταιρείας, πιστεύει ότι μια κινεζική ομάδα hacking που παρακολουθείται ως UAT-9686 βρίσκεται πιθανότατα πίσω από επιθέσεις που κάνουν κατάχρηση του ελαττώματος για την εκτέλεση αυθαίρετων εντολών με δικαιώματα root.

Κατά τη διερεύνηση των επιθέσεων, η Cisco Talos παρατήρησε τους παράγοντες απειλών που ανέπτυξαν επίμονες κερκόπορτες AquaShell, εμφυτεύματα κακόβουλου λογισμικού αντίστροφης σήραγγας AquaTunnel και Chisel και το εργαλείο εκκαθάρισης αρχείων καταγραφής AquaPurge για να σκουπίσουν τα ίχνη της κακόβουλης δραστηριότητάς τους.

Το AquaTunnel και άλλα κακόβουλα εργαλεία που αναπτύσσονται σε αυτήν την εκστρατεία έχουν επίσης συνδεθεί στο παρελθόν με άλλες ομάδες απειλών που υποστηρίζονται από την Κίνα, όπως π.χ. APT41 και UNC5174.

“Αξιολογούμε με μέτρια σιγουριά ότι ο αντίπαλος, τον οποίο παρακολουθούμε ως UAT-9686, είναι ένας παράγοντας προηγμένης επίμονης απειλής (APT) της κινεζικής-nexus του οποίου η χρήση εργαλείων και η υποδομή είναι συνεπείς με άλλες κινεζικές ομάδες απειλών.” είπε ο Cisco Talos.

“Στο πλαίσιο αυτής της δραστηριότητας, το UAT-9686 αναπτύσσει έναν προσαρμοσμένο μηχανισμό επιμονής που παρακολουθούμε ως AquaShell, συνοδευόμενο από πρόσθετα εργαλεία που προορίζονται για αντίστροφη διοχέτευση σήραγγας και εκκαθάριση αρχείων καταγραφής.”

Η CISA έχει επίσης προστέθηκε CVE-2025-20393 στο δικό του κατάλογος γνωστών εκμεταλλευόμενων τρωτών σημείων στις 17 Δεκεμβρίου, διατάσσοντας τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τα συστήματά τους χρησιμοποιώντας την καθοδήγηση της Cisco εντός μίας εβδομάδας, έως τις 24 Δεκεμβρίου, όπως ορίζεται από Δεσμευτική Επιχειρησιακή Οδηγία (ΔΣ) 22-01.

“Παρακαλούμε συμμορφωθείτε με τις οδηγίες της Cisco για την αξιολόγηση της έκθεσης και τον μετριασμό των κινδύνων. Ελέγξτε για ενδείξεις πιθανού συμβιβασμού σε όλα τα προσβάσιμα στο Διαδίκτυο προϊόντα Cisco που επηρεάζονται από αυτήν την ευπάθεια. Εφαρμόστε τυχόν τελικούς μετριασμούς που παρέχονται από τον προμηθευτή μόλις γίνουν διαθέσιμα”, δήλωσε η CISA.

«Αυτοί οι τύποι τρωτών σημείων αποτελούν συχνούς φορείς επιθέσεων για κακόβουλους κυβερνοχώρους και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση».