A Cisco emitiu um alerta sobre uma vulnerabilidade crítica no software Cisco AsyncOS, que está sendo explorada por um grupo avançado de ameaças persistentes (APT) vinculado à China, identificado como UAT-9686. Este grupo tem como alvo o Cisco Secure Email Gateway e o Cisco Secure Email and Web Manager. A empresa detectou a campanha de intrusão em 10 de dezembro de 2025, afetando um conjunto limitado de dispositivos com determinadas portas expostas à internet.
A falha, ainda não corrigida e classificada como CVE-2025-20393, possui uma pontuação CVSS de 10.0, indicando máxima severidade. Ela permite que invasores executem comandos arbitrários com privilégios de root no sistema operacional dos dispositivos afetados. A exploração bem-sucedida requer que o recurso de Quarentena de Spam esteja ativado e acessível pela internet, algo que não é padrão.
Desde novembro de 2025, o grupo UAT-9686 tem utilizado a vulnerabilidade para implantar ferramentas de tunelamento como ReverseSSH e Chisel, além de um utilitário de limpeza de logs chamado AquaPurge. Também foi identificado o uso de um backdoor leve em Python, denominado AquaShell, que processa comandos codificados recebidos via solicitações HTTP POST não autenticadas.
Sem uma correção disponível, a Cisco recomenda restaurar os dispositivos para uma configuração segura, restringir o acesso à internet, proteger os dispositivos com firewall, separar as funções de correio e gerenciamento em interfaces de rede distintas, e monitorar o tráfego de logs web. Além disso, sugere-se desativar serviços de rede desnecessários, usar métodos de autenticação robustos como SAML ou LDAP, e alterar senhas padrão de administradores.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu a CVE-2025-20393 em seu catálogo de Vulnerabilidades Conhecidas Exploradas, exigindo que agências federais apliquem as mitigações necessárias até 24 de dezembro de 2025. Paralelamente, a GreyNoise detectou uma campanha automatizada de credenciais visando infraestruturas de autenticação VPN, com tentativas de login em massa em portais Cisco SSL VPN e GlobalProtect.
Fonte:https://thehackernews.com/2025/12/cisco-warns-of-active-attacks.html
