Cisco opublikowało poprawki dla krytycznej podatności o maksymalnej ocenie CVSS 10,0 w oprogramowaniu AsyncOS. Luka była aktywnie wykorzystywana w atakach i umożliwiała pełne przejęcie urządzeń Secure Email Gateway. Producent apeluje o pilną aktualizację.
Krytyczna podatność w rozwiązaniach Cisco
Cisco poinformowało o usunięciu krytycznej podatności oznaczonej jako CVE-2025-20393, występującej w systemie AsyncOS, wykorzystywanym w urządzeniach Cisco Secure Email Gateway (SEG) oraz Secure Email and Web Manager (SEWM). Podatność otrzymała maksymalną ocenę ryzyka CVSS 10,0, co oznacza możliwość pełnego kompromitowania systemów bez uwierzytelnienia.
Co istotne, luka była aktywnie wykorzystywana w rzeczywistych atakach jeszcze przed publikacją poprawek.
Aktywne wykorzystanie przez grupę powiązaną z Chinami
Według Cisco podatność była wykorzystywana co najmniej od końca listopada 2025 r. przez grupę atakującą śledzoną pod nazwą UAT-9686, powiązaną z Chinami. Ataki zostały wykryte 10 grudnia 2025 r., natomiast sama podatność została publicznie ujawniona 17 grudnia.
W początkowej fazie producent nie podał terminu udostępnienia aktualizacji, co zwiększało ryzyko dalszego wykorzystania luki w środowiskach produkcyjnych.
Pełne przejęcie urządzeń i mechanizmy trwałości
Wykorzystanie podatności umożliwiało zdalne wykonywanie dowolnych poleceń z uprawnieniami roota, co w praktyce oznaczało pełną kontrolę nad urządzeniami brzegowymi odpowiedzialnymi za bezpieczeństwo poczty.
Atakujący byli w stanie:
- instalować mechanizmy trwałości (persistence),
- utrzymywać długotrwały dostęp do przejętych systemów,
- potencjalnie manipulować ruchem pocztowym lub wykorzystywać urządzenia jako punkt wejścia do dalszych ataków w sieci organizacji.
Aktualizacje usuwają podatność i ślady ataku
Niedawno wydane aktualizacje usuwają zarówno samą podatność, jak i znane mechanizmy trwałości pozostawione przez atakujących. Dzięki temu możliwe jest nie tylko zabezpieczenie systemów przed dalszym wykorzystaniem luki, ale również ograniczenie ryzyka utrzymania nieautoryzowanego dostępu do przejętych urządzeń. Cisco apeluje do wszystkich dotkniętych klientów o niezwłoczne przejście na poprawione wersje oprogramowania oraz o kontakt z producentem w przypadku potrzeby dodatkowego wsparcia technicznego.
Rekomendacje dla administratorów
- Natychmiastową aktualizację oprogramowania do najnowszych wersji.
- Weryfikację systemów pod kątem oznak kompromitacji.
- Kontakt z Cisco TAC w przypadku podejrzenia naruszenia bezpieczeństwa.
- Przegląd logów oraz konfiguracji urządzeń SEG i SEWM.
CVE-2025-20393 to jedna z najpoważniejszych podatności ostatnich miesięcy w rozwiązaniach zabezpieczających pocztę elektroniczną. Fakt jej aktywnego wykorzystania oraz możliwość uzyskania dostępu root sprawiają, że opóźnianie aktualizacji stanowi realne zagrożenie dla bezpieczeństwa organizacji.
Jeśli korzystasz z rozwiązań Cisco Secure Email Gateway lub Secure Email and Web Manager i potrzebujesz wsparcia przy aktualizacji lub weryfikacji środowiska – skontaktuj się z nami.
Źródła:
- Reports About Cyberattacks Against Cisco Secure Email Gateway And Cisco Secure Email and Web Manager
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
