中国政府とつながりが疑われる脅威アクターが、最大深刻度のCisco AsyncOSゼロデイ脆弱性を、一部のSecure Email Gateway(SEG)およびSecure Email and Web Manager(SEWM)アプライアンスに対して約1カ月にわたり攻撃し続けており、修正の提供時期は示されていない。
Ciscoは水曜日、この不具合(CVE-2025-20393として追跡)を公開し、Spam Quarantine機能が有効でインターネットに公開されている、特定の非標準構成における物理/仮想のSEGおよびSEWMアプライアンスの双方に影響すると述べた。
セキュリティアドバイザリによると、「12月10日、Ciscoはインターネットに対して特定のポートが開放されている限られた一部のアプライアンスを標的とする新たなサイバー攻撃キャンペーンを把握した……この攻撃により、脅威アクターは影響を受けるアプライアンスの基盤となるオペレーティングシステム上で、root権限で任意のコマンドを実行できる」という。
同社はまた、顧客が露出状況を評価しリスクを緩和するための推奨事項も公開した。
Ciscoの脅威インテリジェンス部門Talosによれば、攻撃は「少なくとも2025年11月下旬以降」継続しているという。
Ciscoの広報担当者は、感染したアプライアンスの台数や修正のリリース時期など、The Registerからの質問への回答を拒否した。
同担当者は「お客様には、アドバイザリのガイダンスに従って露出状況を評価し、リスクを緩和することを強く推奨します」と述べた。「Ciscoは本件を積極的に調査しており、恒久的な修復策を開発しています。」
また水曜日、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、CVE-2025-20393を既知の悪用済み脆弱性(KEV)カタログに追加した。
その後の報告で、Cisco Talosは水曜日、これらの攻撃について「中程度の確度」で、同社がUAT-9686として追跡する中国系の高度持続的脅威(APT)グループによるものだと指摘した。
インターネットに面したアプライアンスへ侵入した後、攻撃者はAquaShellと呼ばれる永続的なPythonベースのバックドアに加え、AquaTunnel(リバースSSHトンネル)、chisel(別のトンネリングツール)、AquaPurge(ログ消去ユーティリティ)を展開する。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/17/attacks_pummeling_cisco_0day/
