Beobachtungen
Cisco berichtet über eine kritische Sicherheitslücke in Cisco AsyncOS (CVE-2025-20939), die aktiv ausgenutzt wird. Die Sicherheitslücke betrifft die Produkte Cisco Secure Email Gateway, Cisco Secure Email und den Web Manager. Sie wird mit einem CVS-Score von 10.0 ausgegeben. Aktuell gibt es noch keinen Patch, der die Lücke schließt. Cisco bietet jedoch einen Workaround an, den betroffene Stellen unbedingt anwenden sollten.
Methoden
Ein erfolgreicher Angriff ermöglicht es den Angreifern, beliebige Befehle mit Root-Rechten auf dem zugrunde liegenden Betriebssystem eines betroffenen Geräts auszuführen. Darüber hinaus können die Angreifer einen persistenten Zugriff auf dem betroffenen Gerät einrichten.
Alle Versionen der Cisco AsyncOS-Software sind betroffen. Für eine erfolgreiche Ausnutzung der Schwachstelle müssen jedoch zwei Bedingungen erfüllt sein. Die Spam-Quarantänefunktion muss aktiv und über das Internet zugänglich bzw. erreichbar sein. Die Spam-Quarantänefunktion ist jedoch standardmäßig nicht aktiviert.
Die Ausnutzung der Schwachstelle reicht mindestens bis Ende November 2025 zurück. Dabei nutzt UAT-9686 die Sicherheitslücke aus, um Tunneling-Tools wie ReverseSSH (auch bekannt als AquaTunnel) und Chisel sowie ein Programm zur Löschung von Logeinträgen namens AquaPurge zu installieren.
Attribution
Die Verwendung von AquaTunnel wurde zuvor mit chinesischen Hackergruppen wie APT41 und UNC5174 in Verbindung gebracht. Bei UAT-9686 handelt es sich laut Cisco ebenfalls um einen chinesischen Cyberakteur.
Empfehlungen
Cisco stellt einen ausführlichen Bericht sowie Handlungsempfehlungen zur Verfügung. Wir empfehlen daher, den von Cisco beschriebenen Workaround anzuwenden. Darüber hinaus empfiehlt das Unternehmen seinen Kunden, die überprüfen möchten, ob ein Gerät kompromittiert wurde, zur Kontaktaufnahme über das Cisco Technical Assistance Center (TAC).