Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Cisco предупредува за активни напади што ја злоупотребуваат непатчувана 0‑day ранливост во AsyncOS Email Security апаратите

Објавено: 18.12.2025

Cisco ги извести корисниците за zero‑day ранливост со максимална сериозност во софтверот Cisco AsyncOS, која активно се злоупотребува од напреден упорен заканувачки актер (APT) со поврзаност со Кина, познат под кодното име UAT‑9686, во напади насочени кон Cisco Secure Email Gateway и Cisco Secure Email and Web Manager.

Компанијата за мрежна опрема соопшти дека за кампањата на упади дознала на 10 декември 2025 година, при што издвојила „ограничен подсклоп апарати“ со одредени порти отворени кон интернет. Засега не е познато колку корисници се погодени.

„Овој напад им овозможува на заканувачките актери да извршуваат произволни команди со root привилегии на основниот оперативен систем на засегнатиот апарат“, соопшти Cisco во советодавно известување. „Тековната истрага откри докази за перзистентен механизам поставен од напаѓачите за да задржат одредено ниво на контрола врз компромитираните апарати.“

Сè уште непатчуваната ранливост се следи како CVE‑2025‑20393 и има CVSS оценка од 10.0. Станува збор за неправилна валидација на влезни податоци што им овозможува на заканувачите да извршуваат малициозни инструкции со зголемени привилегии на основниот оперативен систем.

Погодени се сите изданија на Cisco AsyncOS Software. Сепак, за успешна експлоатација да се случи, мора да бидат исполнети следниве услови и кај физичките и кај виртуелните верзии на Cisco Secure Email Gateway и Cisco Secure Email and Web Manager апаратите:

  • Апаратот да биде конфигуриран со активирана функцијата Spam Quarantine
  • Функцијата Spam Quarantine да е изложена и достапна од интернет

Вреди да се напомене дека функцијата Spam Quarantine не е активирана по дифолт. За да проверите дали е овозможена, корисниците треба да ги следат следниве чекори:

  • Поврзете се на веб‑менаџмент интерфејсот
  • Одете на Network > IP Interfaces > [изберете го интерфејсот на кој е конфигуриран Spam Quarantine] (за Secure Email Gateway)
    или Management Appliance > Network > IP Interfaces > [изберете го интерфејсот] (за Secure Email and Web Manager)
  • Ако опцијата Spam Quarantine е означена, функцијата е активирана

Активноста на експлоатација што ја забележа Cisco датира најмалку од крајот на ноември 2025 година, при што UAT‑9686 ја користел ранливоста за инсталирање на алатки за тунелирање како ReverseSSH (познат и како AquaTunnel) и Chisel, како и алатка за чистење логови наречена AquaPurge. Употребата на AquaTunnel претходно е поврзувана со кинески хакерски групи како APT41 и UNC5174.

Во нападите е користен и лесен Python backdoor наречен AquaShell, кој е способен да прима кодирани команди и да ги извршува.

„Тој пасивно слуша неаутентификувани HTTP POST барања што содржат специјално изработени податоци“, соопшти Cisco. „Доколку се идентификува такво барање, backdoor‑от се обидува да ја парсира содржината со сопствена рутина за декодирање и да ја изврши во системската shell околина.“

Во отсуство на безбедносен патч, на корисниците им се препорачува да ги вратат апаратите во безбедна конфигурација, да го ограничат пристапот од интернет, да ги заштитат уредите зад firewall што дозволува сообраќај само од доверливи хостови, да ги одделат поштенските и управувачките функционалности на посебни мрежни интерфејси, да го следат веб‑лог сообраќајот за неочекувани активности и да го оневозможат HTTP пристапот за главниот администраторски портал.

Исто така, се препорачува исклучување на сите мрежни сервиси што не се неопходни, користење силни методи за автентикација на корисници како SAML или LDAP, како и промена на стандардната администраторска лозинка со побезбедна варијанта.

„Во случај на потврден компромис, реизградбата на апаратите е, во моментов, единствената одржлива опција за целосно отстранување на перзистентниот механизам на заканувачкиот актер од апаратот“, соопшти компанијата.

Овој развој на настаните ја поттикна Американската агенција за сајбер-безбедност и инфраструктура (CISA) да го додаде CVE‑2025‑20393 во својот каталог Known Exploited Vulnerabilities (KEV), со што се бара од федералните цивилни агенции (FCEB) да ги применат потребните мерки до 24 декември 2025 година за да ги обезбедат своите мрежи.

Објавата доаѓа во време кога GreyNoise соопшти дека детектирала „координирана, автоматизирана кампања базирана на креденцијали“ насочена кон корпоративна VPN автентикациска инфраструктура, конкретно кон изложени или слабо заштитени Cisco SSL VPN и Palo Alto Networks GlobalProtect портали.

Се проценува дека повеќе од 10.000 уникатни IP адреси учествувале во автоматизирани обиди за најава на GlobalProtect портали лоцирани во САД, Пакистан и Мексико, користејќи вообичаени комбинации на кориснички имиња и лозинки на 11 декември 2025 година. Сличен скок на опортунистички brute‑force обиди за најава е забележан и против Cisco SSL VPN крајни точки на 12 декември 2025 година, при што активноста потекнувала од 1.273 IP адреси.

„Активноста претставува обиди за масовна, скриптирана најава, а не експлоатација на ранливост“, соопшти компанијата за разузнавање закани. „Конзистентната употреба на инфраструктура и тајмингот укажуваат на една кампања што се префрла помеѓу повеќе VPN платформи.“

Извори:

  • The Hacker News – Cisco Warns of Active Attacks Exploiting Unpatched 0-Day in AsyncOS Email Security Appliances The Hacker News