Cisco 於 1 月 23 日發布安全更新,修補旗下電子郵件安全閘道(Email Security Gateway)與郵件安全暨網頁管理器(Secure Email and Web Manager)產品中 AsyncOS 軟體的重大漏洞
CVE-2025-20393。自 2024 年 11 月底起,疑似中國駭客組織利用此漏洞發動零時差攻擊。
Cisco 早在去年 12 月 17 日就已揭露此漏洞及遭攻擊的情況,當時呼籲客戶檢查設備是否遭入侵,並在確認受駭後重建系統。然而,直到一個多月後才釋出修補程式。
延伸閱讀:中國駭客利用Cisco電郵安全設備零時差漏洞植入後門程式
漏洞成因與攻擊手法
CVE-2025-20393 的 CVSS 評分為滿分 10 分,屬於最高嚴重等級。此遠端命令執行漏洞(RCE)源於垃圾郵件隔離功能對 HTTP 請求驗證不足。攻擊者無需驗證,即可向受影響設備發送精心設計的 HTTP 請求,以 root 權限在底層作業系統執行任意指令。
不過,成功利用此漏洞需滿足三個條件:
設備執行有漏洞的 AsyncOS 軟體版本、
啟用垃圾郵件隔離功能,且
該功能可從網際網路存取。值得注意的是,垃圾郵件隔離功能預設為停用狀態,因此受影響範圍相對有限。
中國駭客組織部署多種惡意工具
Cisco Talos 威脅情報研究團隊追蹤發現,
代號為 UAT-9686 的中國駭客組織可能是這波攻擊的幕後黑手。研究人員在「少數」遭入侵的設備上發現多種客製化惡意工具,包括
以 Python 撰寫的 AquaShell 後門程式、AquaTunnel 反向 SSH 後門、開源隧道工具 Chisel,
以及用於清除入侵痕跡的 AquaPurge 日誌清理工具。
Cisco Talos 表示有中等程度的信心認定 UAT-9686 與中國有關。主要原因是該組織使用的工具和基礎架構與其他中國威脅組織(如 APT41 和 UNC5174)相符。此外,AquaTunnel 等工具過去也曾被這些中國國家支持的駭客組織使用。
閱讀更多:Cisco多款產品遭兩波攻擊:中國APT利用零時差漏洞、VPN暴力破解同步來襲
AquaShell 後門程式採用輕量化設計,能接收編碼指令並執行,作為持久性機制讓攻擊者持續控制受駭系統。
修補版本與因應措施
管理者應將 Cisco 電子郵件安全閘道設備的 AsyncOS 升級至以下版本:
- 15.0.5-016 或更新版本
- 15.5.4-012 或更新版本
- 16.0.4-016 或更新版本
安全電子郵件暨網頁管理器設備則應升級至:
- AsyncOS 15.0.2-007 或更新版本
- 15.5.4-007 或更新版本
- 16.0.4-010 或更新版本
Cisco 指出,升級後設備會自動重新啟動。修補程式不僅修復漏洞,還會清除攻擊活動中發現的持久性機制。
美國網路安全暨基礎設施安全局(CISA)已於 12 月 17 日將 CVE-2025-20393 列入已知遭利用漏洞清單(KEV),要求聯邦民間機構在 12 月 24 日前依照 Cisco 指引完成防護。CISA 警告,此類漏洞經常成為惡意行為者的攻擊途徑,對聯邦企業構成重大風險。
強化防護建議
除了套用安全更新,Cisco 也建議組織採取額外的系統強化措施:
- 將設備部署在防火牆後方,防止來自不安全網路的存取
- 監控網頁日誌流量,留意往來設備的異常流量
- 停用主要管理入口的 HTTP 協定
- 停用所有非必要的網路服務
- 對設備強制實施強式使用者驗證機制(例如 SAML 或 LDAP)
- 將預設管理員密碼更改為更安全的版本
Cisco 尚未透露具體有多少系統受到影響,但強調垃圾郵件隔離功能並非預設啟用,因此實際受影響範圍相對有限。不過,所有符合攻擊條件的設備管理者仍應立即評估風險並儘速套用修補程式。
本文轉載自 HelpNetSecurity、BleepingComputer、TheHackerNews。