Ciscoは木曜日、攻撃で悪用されていたSecure Email Gateway(旧ESA)およびSecure Email and Web Manager(旧Content SMA)の脆弱性に対するパッチを発表した。
CVE-2025-20393(CVSSスコア10/10)として追跡されているこのセキュリティ欠陥は、CiscoのTalos研究者がゼロデイとして実環境での悪用を確認してから1週間後の12月17日に公開された。
「この攻撃により、脅威アクターは影響を受けるアプライアンスの基盤となるオペレーティングシステム上で、root権限で任意のコマンドを実行できる」とCiscoは当時述べた。
同社によると、攻撃の標的となったのは少数のアプライアンスに限られており、このキャンペーンは中国と関連するAPTであるUAT-9686によるものだとしている。
木曜日、Ciscoはアドバイザリを更新し、欠陥、影響を受ける製品、利用可能なパッチに関する情報を提供した。
この欠陥は、Secure Email GatewayおよびCisco Secure Email and Web Managerで動作するAsyncOSソフトウェアのスパム隔離(Spam Quarantine)機能に影響し、HTTPリクエストの検証が不十分であることに起因する。
これにより、認証されていないリモート攻撃者が細工したHTTPリクエストを脆弱なアプライアンスに送信し、基盤となるオペレーティングシステム上でroot権限による任意のコマンド実行を引き起こす可能性がある。
この脆弱性は、Email Security Gateway向けのAsyncOSバージョン15.0.5-016、15.0.5-016、15.5.4-012、16.0.4-016、およびEmail and Web Manager向けのAsyncOSバージョン15.0.2-007、15.5.4-007、16.0.4-010で修正された。
このバグに対する回避策はない。ユーザーは、アプライアンスのWebベース管理インターフェースで利用可能なSystem Upgradeオプションを通じて、ネットワーク経由でソフトウェアを更新できる。
「Ciscoは、影響を受けるアプライアンスを修正済みのソフトウェアリリースへアップグレードすることを推奨する。この修正は、脅威アクターによって使用された脆弱性に対処し、この攻撃キャンペーンで特定され、アプライアンスにインストールされた永続化メカニズムを除去する」とCiscoは指摘している。
UAT-9686は、少なくとも2025年11月以降、このCiscoのゼロデイを悪用して、PythonベースのバックドアAquaShellに加え、リバースSSHトンネルAquaTunnel(別名ReverseSSH)、トンネリングツールChisel、ログ消去ユーティリティAquaPurgeを展開していた。
翻訳元: https://www.securityweek.com/cisco-patches-vulnerability-exploited-by-chinese-hackers/
