12 月中旬,Cisco 多款安全產品遭受兩起性質截然不同的攻擊。第一波是中國駭客組織針對電子郵件安全設備的精密滲透;第二波則是針對 VPN 閘道器的大規模暴力破解。
中國 APT 組織利用 AsyncOS 零時差漏洞
12 月 17 日,Cisco 揭露編號
CVE-2025-20393 的零時差漏洞,影響執行 AsyncOS 作業系統的電子郵件安全設備。該漏洞在CVSS獲得最高嚴重性評分 10 分,目前尚無修補程式。
受影響產品包括 Cisco 安全電子郵件閘道器和安全電子郵件與網頁管理器(Secure Email and Web Manager)。當這些設備啟用垃圾郵件隔離功能並可從網際網路存取時,攻擊者就能取得底層 AsyncOS 的 root 權限,進而執行任意指令。
Cisco Talos 將攻擊組織命名為
UAT-9686。根據研判,
該組織使用的工具、基礎設施與戰術技術程序(TTPs)都與中國駭客組織 APT41 和 UNC5174 高度重疊。
客製化 Aqua 惡意程式家族
UAT-9686 從 11 月下旬開始利用此零時差漏洞。攻擊者入侵後植入多種惡意程式,包括開源通道工具 Chisel 和名為 Aqua 的客製化惡意程式家族。
AquaShell讓攻擊者將其編碼為資料區塊以隱藏,解碼後嵌入系統既有檔案。同時部署的還有日誌清除工具
AquaPurge,以及 Go 語言開發的反向 SSH 後門程式
AquaTunnel。AquaTunnel 能建立通往攻擊者伺服器的連線,即使穿越防火牆也能維持命令與控制(C2)通訊。
目前尚無修補程式,Cisco 已指示客戶將垃圾郵件隔離功能下線,並表示正在開發永久性修補方案。
VPN 閘道器遭大規模密碼噴灑攻擊
就在 Cisco 發現 UAT-9686 攻擊的隔天,另一波攻擊隨即展開。超過 1 萬個獨特 IP 位址開始系統性攻擊 Palo Alto Networks 的 GlobalProtect VPN。攻擊者在 16 小時內產生超過 170 萬次驗證階段,主要目標是美國、墨西哥和巴基斯坦的組織。
隔天,同一波攻擊轉向 Cisco VPN。資安業者 GreyNoise 研究人員觀察到,12 月 12 日攻擊 Cisco 端點的 IP 數量激增六倍。攻擊者透過程式自動執行標準 SSL VPN 登入流程,暴力破解使用弱密碼或已遭破解憑證的帳戶。
GreyNoise 情報部門主管 Noah Stone 指出,這類短期大量攻擊「
通常用於在防禦者回應前快速找出防護不足的系統,同時在憑證被輪換前成功入侵」。
觀察顯示,針對 GlobalProtect 的惡意流量幾乎全部來自德國 3xK GmbH 的 IP 空間,顯示攻擊者使用集中式雲端基礎設施。攻擊者重複使用常見的使用者名稱和密碼組合。請求的結構和時間具有一致性,顯示這是腳本化的憑證探測
兩起攻擊無直接關聯
GreyNoise 強調,目前沒有證據顯示 VPN 攻擊與 CVE-2025-20393 漏洞有關。針對 VPN 的攻擊採用密碼噴灑手法,屬於自動化憑證攻擊,並非漏洞利用。
Palo Alto Networks 證實已知悉此攻擊活動,並建議用戶使用強密碼和多因素驗證(MFA)加強防護。該公司表示,調查顯示這些是試圖識別弱憑證的腳本化嘗試,並非環境遭入侵或漏洞遭利用。
防護建議
資安專家建議組織採取以下措施:
- 立即檢查 Cisco 電子郵件安全設備是否啟用垃圾郵件隔離功能,評估是否將其下線
- 定期稽核邊緣裝置的安全設定
- 強制實施強密碼政策與多因素驗證
- 監控異常登入嘗試,留意來自非預期地理位置或 IP 位址的存取
- 封鎖已知執行探測活動的惡意 IP 位址
本文轉載自 DarkReading、BleepingComputer。