Cisco AsyncOS zero day napadi

Sadržaj
‍
Cisco je upozorio na aktivno iskorištavanje zero day u Cisco AsyncOS-u, koji se koristi u uređajima Cisco Secure Email Gateway (SEG/ESA) i Cisco Secure Email and Web Manager (SEWM/SMA). Ranjivost CVE-2025-20393 trenutno je bez zakrpe i omogućuje napadaču izvršavanje proizvoljnih naredbi s root ovlastima na uređaju. Iskorištavanje se odnosi na ograničen broj sustava u specifičnoj konfiguraciji, osobito kada je Spam Quarantine uključen i izložen internetu.

Detalji
‍
Prema objavljenim informacijama, CVE-2025-20393 je propust u AsyncOS-u koji, kad su zadovoljeni određeni preduvjeti (uključen i prema internetu dostupan Spam Quarantine), omogućuje napadaču da udaljeno pošalje posebno oblikovane zahtjeve i dobije izvođenje naredbi na operacijskom sustavu uređaja s najvišim ovlastima.

Cisco navodi da problem pogađa „ograničeni podskup” uređaja zbog potrebne (nestandardne) izloženosti karantene prema internetu, ali utjecaj je visok jer se radi o sustavima koji stoje na ulazu ili izlazu elektroničke pošte i često su povezani s internim pravilima, rutama i sigurnosnim politikama organizacije.

Napadi su povezani s akterom kojeg Cisco prati kao UAT-9686, a aktivnost je, prema navodima, uočena najmanje od kraja studenog 2025., dok je Cisco za kampanju saznao 10. prosinca 2025. U napadima je zabilježeno postavljanje mehanizama za dugotrajniju kontrolu nad uređajem i dodatnih alata za tuneliranje i udaljeni pristup, uz pokušaje uklanjanja tragova.

Drugim riječima, cilj nije samo jednokratan upad, nego zadržavanje pristupa i mogućnost daljnjih radnji iz kompromitiranog uređaja.

Budući da je riječ o ranjivosti bez dostupne zakrpe u trenutku objave, fokus je na smanjenju površine napada. Ključni problem je izloženost funkcije Spam Quarantine prema internetu i općenito izloženost upravljačkih sučelja.

Cisco naglašava da je u slučaju potvrđene kompromitacije obnova ili ponovna izgradnja uređaja trenutačno jedini pouzdan način uklanjanja postojanih mehanizama napadača.

Preporuke
‍
• Odmah ukloniti izravnu izloženost Spam Quarantine prema internetu ako je uključena i ograničiti pristup samo na pouzdane mreže.
• Postaviti uređaje iza vatrozida i dopustiti pristup upravljačkim sučeljima samo s pouzdanih IP adresa.
• Razdvojiti mrežna sučelja i funkcije gdje je moguće te ograničiti administraciju na zasebnu, kontroliranu zonu.
• Pojačati nadzor i pregledati web i sustavske zapise za neuobičajene zahtjeve, zadržati zapise za istragu i pratiti indikatore kompromitacije objavljene kroz relevantne izvore.

Reference
‍
• https://thehackernews.com/2025/12/cisco-warns-of-active-attacks.html
• https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/
• https://nvd.nist.gov/vuln/detail/CVE-2025-20393

‍