Ciscoは、2025年11月以降、Secure Email Gateway(SEG)およびSecure Email and Web Manager(SEWM)アプライアンスに対する攻撃で悪用されていた、最大深刻度のCisco AsyncOSゼロデイにようやくパッチを適用しました。
Ciscoが12月に脆弱性(CVE-2025-20393)を開示した際に説明したとおり、この脆弱性は、スパム隔離(Spam Quarantine)機能が有効で、かつインターネット上に公開されている非標準構成のCisco SEGおよびCisco SEWMアプライアンスにのみ影響します。
「Cisco Secure Email Gateway、Secure Email、AsyncOS Software、およびWeb Managerアプライアンスには不適切な入力検証の脆弱性があり、脅威アクターが影響を受けるアプライアンスの基盤となるオペレーティングシステム上で、root権限で任意のコマンドを実行できる可能性があります」とCiscoは述べています。
脆弱なアプライアンスを修正済みソフトウェアバージョンへアップグレードするための詳細な手順は、このセキュリティアドバイザリで確認できます。
同社の脅威インテリジェンス研究チームであるCisco Talosは、中国のハッキンググループ(UAT-9686として追跡)が、この欠陥を悪用してroot権限で任意のコマンドを実行する攻撃の背後にいる可能性が高いとみています。
攻撃の調査中、Cisco Talosは、脅威アクターがAquaShellの永続的バックドア、AquaTunnelおよびChiselのリバースSSHトンネル型マルウェア・インプラント、さらに悪意ある活動の痕跡を消すためのログ消去ツールAquaPurgeを展開していることを確認しました。
このキャンペーンで展開されたAquaTunnelなどの悪意あるツールは、過去にAPT41やUNC5174といった、他の中国の国家支援型脅威グループとも関連付けられてきました。
「UAT-9686として追跡している敵対者は、中国に関連する高度持続的脅威(APT)アクターであり、そのツールの使用状況とインフラは他の中国系脅威グループと整合していると、中程度の確信をもって評価しています」とCisco Talosは述べています。
「この活動の一環として、UAT-9686は、AquaShellとして追跡しているカスタムの永続化メカニズムを展開し、リバーストンネリングおよびログの消去を目的とした追加ツールも併用します。」
CISAも12月17日に、CVE-2025-20393を追加し、既知の悪用されている脆弱性カタログに掲載しました。また、拘束力のある運用指令(BOD)22-01に基づき、連邦機関に対して、Ciscoのガイダンスに従って1週間以内、すなわち12月24日までにシステムを保護するよう命じました。
「Ciscoのガイドラインに従い、露出状況を評価してリスクを軽減してください。この脆弱性の影響を受ける、インターネットからアクセス可能なCisco製品すべてについて、侵害の可能性を示す兆候がないか確認してください。ベンダーから最終的な緩和策が提供され次第、できるだけ早く適用してください」とCISAは述べています。
「この種の脆弱性は、悪意あるサイバーアクターにとって頻繁に用いられる攻撃ベクトルであり、連邦組織に重大なリスクをもたらします。」
