Cisco patcht Zero-Day RCE uitgebuit door China-Linked APT in veilige e-mailgateways

Cyberbeveiliging
Cisco Patches Zero-Day RCE

Cisco heeft donderdag beveiligingsupdates vrijgegeven voor een zeer ernstige beveiligingsfout die gevolgen heeft voor Cisco AsyncOS Software voor Cisco Secure Email Gateway en Cisco Secure Email and Web Manager, bijna een maand nadat het bedrijf bekendmaakte dat het als een zero-day was uitgebuit door een China-nexus advanced persistent threat (APT)-actor met de codenaam UAT-9686.

De kwetsbaarheid, bijgehouden als CVE-2025-20393 (CVSS-score: 10,0), is een fout bij het uitvoeren van externe opdrachten die ontstaat als gevolg van onvoldoende validatie van HTTP-verzoeken door de functie Spam Quarantaine. Succesvol misbruik van het defect zou een aanvaller in staat kunnen stellen willekeurige opdrachten met rootrechten uit te voeren op het onderliggende besturingssysteem van een getroffen apparaat.

Om de aanval te laten werken moet echter aan drie voorwaarden worden voldaan:

  • Op het apparaat wordt een kwetsbare versie van Cisco AsyncOS Software uitgevoerd
  • Het apparaat is geconfigureerd met de functie Spamquarantaine
  • De functie Spamquarantaine is zichtbaar en bereikbaar via internet

Vorige maand onthulde de grote netwerkapparatuur dat het bewijs had gevonden dat UAT-9686 al eind november 2025 misbruik maakte van de kwetsbaarheid om tunnelingtools zoals ReverseSSH (ook bekend als AquaTunnel) en Chisel te laten vallen, en een hulpprogramma voor het opschonen van logboeken genaamd AquaPurge.

De aanvallen worden ook gekenmerkt door de inzet van een lichtgewicht Python-achterdeur genaamd AquaShell die in staat is gecodeerde opdrachten te ontvangen en uit te voeren.

De kwetsbaarheid is nu verholpen in de volgende versies, naast het verwijderen van de persistentiemechanismen die tijdens deze aanvalscampagne zijn geïdentificeerd en op de apparaten zijn geïnstalleerd:

Cisco e-mailbeveiligingsgateway

  • Cisco AsyncOS-softwareversie 14.2 en eerder (opgelost in 15.0.5-016)
  • Cisco AsyncOS-softwareversie 15.0 (opgelost in 15.0.5-016)
  • Cisco AsyncOS-softwareversie 15.5 (opgelost in 15.5.4-012)
  • Cisco AsyncOS-softwareversie 16.0 (opgelost in 16.0.4-016)

Veilige e-mail en webmanager

  • Cisco AsyncOS-softwareversie 15.0 en eerder (opgelost in 15.0.2-007)
  • Cisco AsyncOS-softwareversie 15.5 (opgelost in 15.5.4-007)
  • Cisco AsyncOS-softwareversie 16.0 (opgelost in 16.0.4-010)

Daarnaast dringt Cisco er bij klanten ook op aan om strengere richtlijnen te volgen om toegang vanaf onbeveiligde netwerken te voorkomen, de apparaten achter een firewall te beveiligen, weblogverkeer te monitoren op onverwacht verkeer van/naar apparaten, HTTP uit te schakelen voor het hoofdbeheerdersportal, netwerkservices uit te schakelen die niet vereist zijn, een sterke vorm van eindgebruikerauthenticatie voor de apparaten af ​​te dwingen (bijvoorbeeld SAML of LDAP) en het standaardbeheerderswachtwoord te wijzigen in een veiliger variant.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Apple komt mogelijk binnenkort met encryptie-ondersteuning voor RCS-berichten

Grok verbiedt eindelijk het genereren van illegale porno na wereldwijde kritiek

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]