A Cisco alertou hoje seus clientes sobre uma vulnerabilidade zero-day de severidade máxima no Cisco AsyncOS, que ainda não recebeu patch e está sendo explorada ativamente em ataques contra os appliances Secure Email Gateway (SEG) e Secure Email and Web Manager (SEWM).
Essa falha zero-day (
CVE-2025-20393
) afeta apenas os dispositivos Cisco SEG e SEWM que possuem configurações não padrão, especificamente quando o recurso Spam Quarantine está habilitado e exposto à internet.
A equipe de inteligência da Cisco Talos identifica um grupo de ameaças chinês, rastreado como UAT-9686, como responsável pelos ataques que exploram essa vulnerabilidade para executar comandos arbitrários com privilégios de root.
Eles implantam backdoors persistentes chamados AquaShell, além dos malwares AquaTunnel e Chisel, que criam túneis SSH reversos, e utilizam um utilitário para apagar logs denominado AquaPurge.
Indicadores de comprometimento estão disponíveis em um repositório no GitHub.
O AquaTunnel e outras ferramentas usadas nesses ataques já foram associados anteriormente a outros grupos chineses patrocinados pelo Estado, como UNC5174 e APT41.
“Avaliamos com confiança moderada que o adversário, rastreado como UAT-9686, é um ator APT (Advanced Persistent Threat) de origem chinesa, com ferramentas e infraestrutura semelhantes a outros grupos chineses”, afirmou a Cisco Talos no boletim divulgado na quarta-feira.
“Esse grupo utiliza um mecanismo de persistência personalizado chamado AquaShell, além de ferramentas para tunelamento reverso e remoção de logs.”
Embora os ataques tenham sido detectados pela Cisco em 10 de dezembro, a campanha está ativa desde pelo menos o final de novembro de 2025.
Até o momento, a Cisco ainda não lançou atualizações de segurança para corrigir essa vulnerabilidade.
Por isso, recomenda que os administradores adotem medidas para proteger e restringir o acesso aos appliances vulneráveis.
Entre as orientações estão limitar o acesso pela internet, restringir conexões apenas a hosts confiáveis e posicionar os dispositivos atrás de firewalls para filtrar o tráfego.
Também é recomendado separar as funções de manipulação de e-mails e de gerenciamento, monitorar logs web para identificar atividades suspeitas e manter registros para investigações futuras.
Além disso, a Cisco orienta desabilitar serviços desnecessários, atualizar os sistemas para as versões mais recentes do Cisco AsyncOS, implementar autenticação forte como SAML ou LDAP, alterar senhas padrão e usar certificados SSL ou TLS para proteger o tráfego de gerenciamento.
Para quem deseja verificar se seus appliances foram comprometidos, a Cisco recomenda abrir um chamado no Cisco Technical Assistance Center (TAC).
A empresa reforça a importância de seguir as orientações recomendadas na seção *Recommendations* de seu advisory de segurança.
“Se o appliance tiver a interface de gerenciamento web ou a porta do Spam Quarantine expostas e acessíveis pela internet, a Cisco recomenda fortemente seguir um processo múltiplo para restaurar o dispositivo a uma configuração segura, sempre que possível”, alertou a empresa.
“Caso a restauração não seja viável, a Cisco sugere contatar o TAC para avaliar o comprometimento.
Se confirmado, a única solução atualmente eficaz para eliminar a persistência do agente malicioso é reconstruir os appliances do zero.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...