- Cisco、Secure Emailアプライアンスの重大なRCE脆弱性(CVE-2025-20393)にパッチ
- 中国の国家支援グループがAquashellとトンネリングツールを用いて数週間にわたり悪用
- 更新により永続化メカニズムを除去;世界的な侵害の規模は依然不明
一部のCisco製品における最大深刻度の脆弱性が、中国のハッカーに数週間にわたり悪用されていたとされる中、ついに対処された。
2025年12月中旬、ネットワーク大手のCiscoは、Secure Email Gateway(SEG)およびSecure Email and Web Manager(SEWM)アプライアンスに影響するAsyncOSのリモートコード実行(RCE)脆弱性を公表した。Ciscoはこの欠陥をCVE-2025-20393として追跡し、深刻度スコアを10/10(クリティカル)と評価した。
「この攻撃により、脅威アクターは影響を受けるアプライアンスの基盤となるオペレーティングシステム上で、root権限で任意のコマンドを実行できます」とCiscoは当時述べた。「継続中の調査により、脅威アクターが侵害されたアプライアンスに対する一定の制御を維持するために、永続化メカニズムを埋め込んだ証拠が明らかになりました。」
Ciscoが(ついに)修正
最初の公表から間もなく、追加の報告が出てきた。それによれば、UAT-9686、APT41、UNC5174として追跡されている中国の国家支援の脅威アクターが、少なくとも「2025年11月下旬以降」この脆弱性を悪用してきたという。
これらのグループの少なくとも1つが、永続的なPythonベースのバックドア「Aquashell」に加え、AquaTunnel(リバースSSHトンネル)、chisel(別のトンネリングツール)、AquaPurge(ログ消去ユーティリティ)を用いて、Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerのインスタンスを標的にしたとされる。
Ciscoは修正に取り組んでいるとし、ネットワークを強化する方法について助言を提供したが、公開時期の期限は示していなかった。今回、パッチがすべてのユーザーに提供された。
「これらの更新は、関連するサイバー攻撃キャンペーン中にインストールされた可能性のある永続化メカニズムも除去します」とCiscoの広報担当者は述べた。
「Ciscoは、更新されたセキュリティアドバイザリに記載のとおり、影響を受けるお客様が適切な修正版ソフトウェアリリースへアップグレードすることを強く推奨します。支援が必要なお客様はCisco Technical Assistance Centerにお問い合わせください。」
最大深刻度で、少なくとも5週間にわたり悪用可能だった欠陥であるにもかかわらず、どれだけのインスタンスが侵害されたのか、また米国やその他の地域でどれだけの組織が中国のハッカーの被害に遭ったのかは分かっていない。
