Cisco 於 12 月 18 日發布重大資安警告,旗下 AsyncOS 軟體存在 CVSS 評分高達 10.0 的零時差漏洞 CVE-2025-20393。該漏洞目前已遭
中國駭客組織 UAT-9686 積極利用,攻擊目標為 Cisco Secure Email Gateway (SEG) 和 Cisco Secure Email and Web Manager (SEWM) 設備。
攻擊活動早在11月就已展開
Cisco Talos 威脅情報團隊在 12 月 10 日處理技術支援案件時發現這起攻擊活動。進一步調查顯示,攻擊行動最早可追溯至 2025 年 11 月底。
該漏洞源於不當的輸入驗證(improper input validation),允許攻擊者在無需身分驗證的情況下,以 root 權限在受影響設備的作業系統上執行任意指令。
值得注意的是,並非所有 AsyncOS 設備都會受到攻擊。只有同時符合以下條件的實體或虛擬設備才可能遭到入侵:
設備啟用垃圾郵件隔離功能(Spam Quarantine feature),且該功能暴露在網際網路上可被外部存取。Cisco 強調,垃圾郵件隔離功能預設為停用狀態,官方部署指南也不建議將相關連接埠對外開放。
攻擊者部署多種惡意工具建立持久控制
Cisco 調查發現,
UAT-9686 駭客組織成功入侵後會部署多種客製化和開源工具,以維持對受害設備的控制。其中最關鍵的是名為
AquaShell 的 Python 後門程式。此輕量級後門會被動監聽未經驗證的 HTTP POST 請求,一旦接收到特製資料,就會使用自訂的解碼程序解析內容,並在系統 shell 中執行指令。
除了 AquaShell,攻擊者還會安裝
AquaPurge 日誌清理工具來移除包含特定關鍵字的日誌記錄,藉此掩蓋入侵痕跡。同時部署 AquaTunnel(又稱 ReverseSSH)和 Chisel 等隧道工具,建立反向 SSH 連線通道以代理流量。這些工具的使用模式與已知的中國駭客組織 APT41 和 UNC5174 高度相似。
研究人員指出,
UAT-9686 駭客組織在戰術技術程序(TTPs)、基礎設施使用和受害者選擇上,都與其他中國駭客組織存在重疊特徵。使用客製化網頁型植入程式的手法,已逐漸成為高度複雜中國 APT 組織的慣用策略。
目前尚無修補程式可用
由於 Cisco 尚未釋出
CVE-2025-20393 的安全更新,管理者應立即採取緩解措施保護設備。首先
應檢查垃圾郵件隔離功能是否啟用:進入「網路設定」的「IP 介面」選項,確認該功能是否勾選並連線至網頁管理介面。
如果發現設備的網頁管理介面或垃圾郵件隔離連接埠暴露在網際網路上,Cisco 強烈建議盡可能將設備還原至安全組態。若無法還原,應立即聯繫 Cisco 技術支援中心(TAC)進行遠端檢查。一旦確認設備已遭入侵,唯一能徹底清除攻擊者持久化機制的方法就是重建整個設備。
多層次防護建議
Cisco 提出完整的防護建議,管理者應採取以下措施:
- 限制設備的網際網路存取,僅允許來自可信主機的流量
- 將設備部署在防火牆後方進行流量過濾
- 將郵件處理和管理功能分離到不同的網路介面
- 監控網頁日誌流量以偵測異常活動
- 停用不必要的網路服務
- 針對主要管理介面停用 HTTP 協定
- 採用 SAML 或 LDAP 等強式使用者驗證方法
- 將預設管理者密碼變更為更安全的組合
- 持續更新至最新版本的 AsyncOS 軟體
- 使用 SSL 或 TLS 憑證保護管理流量的安全
美國網路安全暨基礎設施安全局(CISA)已將 CVE-2025-20393 列入已知遭利用漏洞(KEV)目錄,要求聯邦民事行政部門機構必須在 2025 年 12 月 24 日前完成必要的緩解措施。
安全研究人員指出,根據 Cisco 公布的攻擊 IP 位址分析,這很可能與先前攻擊 Cisco ASA 設備,以及利用 CVE-2025-5777、CVE-2025-7775 入侵 Citrix NetScaler ADC 設備的中國 APT 組織為同一批攻擊者。這些駭客入侵後會植入持久化後門,並使用客製化惡意程式來停用日誌記錄和阻止建立當機傾印檔案。
延伸閱讀:Amazon 示警APT 組織利用 Citrix 與 Cisco 零日漏洞發動攻擊,已修補企業仍可能遭入侵
此次事件再次凸顯網路設備已成為國家級駭客組織的主要攻擊目標。企業與組織應加強對關鍵基礎設施的監控,並定期檢視設備組態是否符合安全最佳實務。
本文轉載自 TheHackerNews、HelpNetSecurity、BleepingComputer。