Cisco heeft gebruikers gewaarschuwd voor een zero-day-fout met de hoogste ernst in Cisco AsyncOS-software die actief is uitgebuit door een China-nexus Advanced Persistent Threat (APT)-actor met de codenaam UAT-9686 bij aanvallen gericht op Cisco Secure Email Gateway en Cisco Secure Email and Web Manager.
De grote netwerkapparatuur zei dat het zich op 10 december 2025 bewust werd van de inbraakcampagne en dat het een “beperkte subset van apparaten” heeft uitgekozen met bepaalde poorten die openstaan voor internet. Het is momenteel niet bekend om hoeveel klanten het gaat.
“Deze aanval stelt de bedreigingsactoren in staat willekeurige commando’s uit te voeren met rootrechten op het onderliggende besturingssysteem van een getroffen apparaat”, aldus Cisco in een advies. “Het lopende onderzoek heeft bewijs opgeleverd van een persistentiemechanisme dat door de bedreigingsactoren is geplant om een zekere mate van controle over gecompromitteerde apparaten te behouden.”
De nog niet gepatchte kwetsbaarheid wordt gevolgd als CVE-2025-20393en heeft een CVSS-score van 10,0. Het gaat om een geval van onjuiste invoervalidatie waardoor bedreigingsactoren kwaadaardige instructies met verhoogde rechten op het onderliggende besturingssysteem kunnen uitvoeren.
Alle releases van Cisco AsyncOS-software worden beïnvloed. Voor een succesvolle exploitatie moet echter aan de volgende voorwaarden worden voldaan voor zowel de fysieke als de virtuele versies van Cisco Secure Email Gateway en Cisco Secure Email en Web Manager-appliances:
- Het apparaat is geconfigureerd met de functie Spamquarantaine
- De functie Spamquarantaine is zichtbaar en bereikbaar via internet
Het is vermeldenswaard dat de functie Spamquarantaine niet standaard is ingeschakeld. Om te controleren of deze is ingeschakeld, wordt gebruikers geadviseerd de onderstaande stappen te volgen:
- Maak verbinding met de webbeheerinterface
- Navigeer naar Netwerk > IP-interfaces > (Selecteer de interface waarop Spam Quarantaine is geconfigureerd) (voor Secure Email Gateway) of Management Appliance > Netwerk > IP Interfaces > (Selecteer de interface waarop Spam Quarantaine is geconfigureerd) (voor Secure Email en Web Manager)
- Als de optie Spamquarantaine is aangevinkt, is de functie ingeschakeld
De door Cisco waargenomen exploitatieactiviteit dateert van ten minste eind november 2025, waarbij UAT-9686 de kwetsbaarheid bewapende voor drop-tunnelingtools zoals ReverseSSH (ook bekend als AquaTunnel) en Chisel, evenals een hulpprogramma voor het opschonen van logboeken genaamd AquaPurge. Het gebruik van AquaTunnel is eerder in verband gebracht met Chinese hackgroepen zoals APT41 en UNC5174.
Bij de aanvallen wordt ook een lichtgewicht Python-achterdeur ingezet, AquaShell genaamd, die gecodeerde opdrachten kan ontvangen en uitvoeren.
“Het luistert passief naar niet-geverifieerde HTTP POST-verzoeken die speciaal vervaardigde gegevens bevatten”, aldus Cisco. “Als een dergelijk verzoek wordt geïdentificeerd, zal de achterdeur proberen de inhoud te parseren met behulp van een aangepaste decoderingsroutine en deze uit te voeren in de systeemshell.”
Als er geen patch is, wordt gebruikers geadviseerd om hun apparaten terug te zetten naar een veilige configuratie, de toegang vanaf internet te beperken, de apparaten achter een firewall te beveiligen zodat alleen verkeer van vertrouwde hosts mogelijk is, e-mail- en beheerfunctionaliteit op afzonderlijke netwerkinterfaces te scheiden, weblogverkeer te controleren op onverwacht verkeer en HTTP uit te schakelen voor de hoofdbeheerdersportal.
Het wordt ook aanbevolen om alle netwerkservices die niet nodig zijn uit te schakelen, sterke authenticatiemethoden voor eindgebruikers te gebruiken, zoals SAML of LDAP, en het standaard beheerderswachtwoord te wijzigen in een veiliger variant.
“In geval van een bevestigd compromis is het opnieuw opbouwen van de apparaten momenteel de enige haalbare optie om het persistentiemechanisme van de bedreigingsactoren uit het apparaat uit te roeien”, aldus het bedrijf.
De ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om CVE-2025-20393 toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen vóór 24 december 2025 de nodige maatregelen moeten toepassen om hun netwerken te beveiligen.
De onthulling komt op het moment dat GreyNoise zei dat het een ‘gecoördineerde, geautomatiseerde op inloggegevens gebaseerde campagne’ heeft gedetecteerd, gericht op de VPN-authenticatie-infrastructuur van bedrijven, met name het onderzoeken van blootgestelde of zwak beschermde Cisco SSL VPN- en Palo Alto Networks GlobalProtect-portals.
Naar schatting hebben op 11 december 2025 meer dan 10.000 unieke IP-adressen deelgenomen aan geautomatiseerde inlogpogingen bij GlobalProtect-portals in de VS, Pakistan en Mexico met behulp van gemeenschappelijke gebruikersnaam- en wachtwoordcombinaties. Een vergelijkbare piek in opportunistische brute-force inlogpogingen is sinds 12 december 2025 geregistreerd tegen Cisco SSL VPN-eindpunten. De activiteit was afkomstig van 1.273 IP-adressen.
“De activiteit weerspiegelt grootschalige inlogpogingen via scripts, en niet het misbruik van kwetsbaarheden”, aldus het bedrijf voor bedreigingsinformatie. “Consistent gebruik en timing van de infrastructuur duiden op één enkele campagne die over meerdere VPN-platforms draait.”
