Ciscoは本日、Secure Email Gateway(SEG)およびSecure Email and Web Manager(SEWM)アプライアンスを標的とした攻撃で、未修正の最大深刻度のCisco AsyncOSゼロデイが積極的に悪用されているとして顧客に警告しました。
この未修正のゼロデイ(CVE-2025-20393)は、スパム隔離(Spam Quarantine)機能が有効でインターネット上に公開されている場合に限り、非標準の構成のCisco SEGおよびCisco SEWMアプライアンスのみに影響します。
同社の脅威インテリジェンス研究チームであるCisco Talosは、UAT-9686として追跡している中国の脅威グループが、この脆弱性を悪用してroot権限で任意のコマンドを実行し、永続的バックドア「AquaShell」、AquaTunnelおよびChiselのリバースSSHトンネル型マルウェア・インプラント、さらにAquaPurgeというログ消去ツールを展開している攻撃の背後にいるとみています。侵害の指標(IOC)はこのGitHubリポジトリで公開されています。
AquaTunnelや、これらの攻撃で使用されたその他の悪意あるツールは、過去にUNC5174やAPT41など、中国の国家支援を受けた別のハッキンググループとも関連付けられてきました。
「UAT-9686として追跡している敵対者は、中国に関連する高度持続的脅威(APT)アクターであり、そのツールの使用状況とインフラは他の中国系脅威グループと整合していると、中程度の確信をもって評価しています」とCisco Talosは水曜日のアドバイザリで述べました。
「この活動の一環として、UAT-9686は、当社がAquaShellとして追跡しているカスタムの永続化メカニズムを展開し、リバーストンネリングおよびログ消去を目的とした追加ツールを併用しています。」
同社は12月10日にこれらの攻撃を確認しましたが、このキャンペーンは少なくとも2025年11月下旬以降、活動していました。
脆弱なアプライアンスへのアクセスを制限
Ciscoはこのゼロデイ欠陥に対処するセキュリティ更新をまだリリースしていませんが、管理者に対し、脆弱なアプライアンスを保護しアクセスを制限するよう助言しました。推奨事項には、インターネットからのアクセスを制限すること、信頼できるホストへの接続に限定すること、トラフィックをフィルタリングするためにアプライアンスをファイアウォールの背後に配置することが含まれます。
管理者はまた、メール処理機能と管理機能を分離し、Webログに不審な活動がないか監視し、調査のためにログを保持する必要があります。
不要なサービスを無効化すること、最新のCisco AsyncOSソフトウェアでシステムを最新の状態に保つこと、SAMLやLDAPなどの強力な認証方式を実装すること、デフォルトパスワードを変更すること、管理トラフィックを保護するためにSSLまたはTLS証明書を使用することも推奨されています。
Ciscoは、アプライアンスがすでに侵害されているかどうかを確認したい顧客に対し、Cisco Technical Assistance Center(TAC)のケースを起票するよう求め、本日のセキュリティアドバイザリの「Recommendations」セクションに記載されたガイダンスに従うことを強く推奨しています。
「アプライアンスのWeb管理インターフェースまたはスパム隔離ポートがインターネットに公開され、インターネットから到達可能であることが確認された場合、可能であれば、アプライアンスを安全な構成に復元するための複数ステップのプロセスに従うことをCiscoは強く推奨します」とCiscoは警告しました。
「アプライアンスの復元が不可能な場合、CiscoはTACに連絡してアプライアンスが侵害されているかどうかを確認することを推奨します。侵害が確認された場合、現時点でアプライアンスから脅威アクターの永続化メカニズムを根絶するための実行可能な選択肢は、アプライアンスを再構築することだけです。」
