Компания Cisco предупредила клиентов о неустраненной 0-day-уязвимости в Cisco AsyncOS, которая уже активно используется для атак на устройства Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM).
Уязвимости присвоили идентификатор CVE-2025-20393, и она затрагивает только Cisco SEG и Cisco SEWM с нестандартными конфигурациями: для успешной атаки функция помещения спама в карантин должна быть включена и доступна через интернет.
Специалисты Cisco Talos, полагают, что за эксплуатацией этого бага (который применяется для выполнения произвольных команд с правами root) стоит китайская хак-группа, отслеживаемая под кодовым номером UAT-9686.
Сообщается, что группировка развертывает в системах жертв устойчивые бэкдоры AquaShell, малварь AquaTunnel и Chisel для организации обратных SSH-туннелей, а также применяет инструмент для очистки логов под названием AquaPurge. Индикаторы компрометации уже опубликованы на GitHub.
AquaTunnel и другую малварь, задействованную в этих атаках, ранее уже связывали с другими китайскими группировками, включая UNC5174 и APT41.
«Мы с умеренной степенью уверенности полагаем, что злоумышленник, которого мы отслеживаем как UAT-9686, является китайской APT-группировкой, чьи инструменты и инфраструктура связаны с другим китайским группам, занимающимся кибератаками, — говорится в сообщении Cisco Talos. — В рамках этой активности UAT-9686 развертывает собственный механизм обеспечения постоянного присутствия, который мы отслеживаем как AquaShell, а также задействует дополнительные инструменты, предназначенные для обратного туннелирования и очистки логов».
Хотя атаки были обнаружены 10 декабря 2025, исследователи считают, что вредоносная кампания длится как минимум с конца ноября.
«Если было обнаружено, что веб-интерфейс управления устройством или порт для карантина спама открыты и доступны через интернет, Cisco настоятельно рекомендует, по возможности, выполнить многоэтапную процедуру восстановления безопасной конфигурации устройства», — предупреждают разработчики.
Так как патчей пока нет, компания советует администраторам защитить и ограничить доступ к уязвимым устройствам. Рекомендации включают ограничение доступа в интернет, ограничение подключений только доверенными хостами, а также размещение устройств за межсетевыми экранами для фильтрации трафика. Кроме того, администраторам следует разделять функции обработки почты и управления, мониторить сетевые журналы на предмет необычной активности и сохранять логи для проведения возможных расследований.
Также рекомендуется отключить ненужные службы, поддерживать системы в актуальном состоянии, внедрить надежные методы аутентификации, такие как SAML или LDAP, изменить пароли по умолчанию и использовать сертификаты SSL или TLS для защиты управляющего трафика.
Клиентов, которые хотят проверить, не были ли их устройства скомпрометированы, просят открыть заявку в Центре технической поддержки Cisco (TAC).
