Компания Cisco 10 декабря 2025 года обнаружила активную кампанию вторжения, использующую уязвимость нулевого дня, которая до сих пор остается неисправленной. Этой бреши в безопасности присвоен идентификатор CVE-2025-20393 и максимальный уровень серьезности с оценкой CVSS 10.0. Природа недостатка заключается в неправильной проверке входных данных, что позволяет злоумышленникам выполнять произвольные команды с правами root в базовой операционной системе. Это означает, что атакующие могут получить полный административный контроль над затронутым устройством без необходимости авторизации.
Под угрозой находится все программное обеспечение Cisco AsyncOS Software, независимо от версии релиза. Атака нацелена на конкретные устройства: Cisco Secure Email Gateway и Cisco Secure Email and Web Manager. Хотя полный масштаб инцидента пока не определен, известно, что он затрагивает «ограниченное подмножество устройств» с определенными портами, открытыми для доступа из интернета. Злоумышленники используют эти векторы для внедрения механизмов постоянства, сохраняя контроль над скомпрометированным оборудованием.
Ответственность за атаки возлагается на группу UAT-9686, которая классифицируется как китайская кибершпионская группировка уровня APT (Advanced Persistent Threat). Использование инструмента AquaTunnel связывает данного актора с уже известными китайскими хакерскими группами APT41 и UNC5174. Арсенал злоумышленников также включает AquaShell — легковесный бэкдор, написанный на Python. Этот вредоносный скрипт пассивно прослушивает неаутентифицированные HTTP POST-запросы со специально подготовленными данными. При получении таких запросов AquaShell декодирует содержимое с помощью пользовательской процедуры и выполняет команды в системной оболочке.
В условиях отсутствия официального патча администраторам необходимо немедленно принять меры по смягчению последствий. Ключевые рекомендации включают восстановление безопасной конфигурации устройств, ограничение доступа в интернет и защиту оборудования брандмауэром, разрешающим трафик только с доверенных хостов. Критически важно разделить функции почты и управления на разные сетевые интерфейсы, отключить HTTP для главного портала администратора и деактивировать неиспользуемые сетевые службы. Также следует тщательно отслеживать веб-журналы на предмет подозрительной активности.
Для повышения безопасности аутентификации рекомендуется использовать надежные методы проверки пользователей, такие как SAML или LDAP, и сменить пароли администраторов по умолчанию на сложные варианты. Однако, если устройство уже было скомпрометировано, простые меры защиты не помогут. Единственным действенным способом устранения механизма персистентности (постоянного присутствия злоумышленника) является полная перестройка (rebuilding) устройств. Любые другие попытки очистки системы считаются ненадежными.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) отреагировало на инцидент, добавив CVE-2025-20393 в каталог известных эксплуатируемых уязвимостей (KEV). В соответствии с директивой, федеральные агентства гражданской исполнительной власти (FCEB) обязаны применить меры по снижению рисков до 24 декабря 2025 года. Это подчеркивает критичность ситуации и необходимость оперативных действий со стороны государственных и частных организаций.
Параллельно с эксплуатацией уязвимости нулевого дня компания GreyNoise, занимающаяся анализом угроз, зафиксировала скоординированную автоматизированную кампанию по перебору учетных данных. Эта активность направлена на инфраструктуру аутентификации корпоративных VPN, в частности Cisco SSL VPN и Palo Alto Networks GlobalProtect. Важно отметить, что в данном случае речь идет не об эксплуатации уязвимости, а о брутфорсе и скриптовых попытках входа в систему.
По данным GreyNoise, 11 декабря 2025 года более 10 000 уникальных IP-адресов предприняли попытки автоматизированного входа на порталы GlobalProtect. География целей включала США, Пакистан и Мексику. Уже на следующий день, 12 декабря 2025 года, 1 273 IP-адреса начали атаки методом перебора против конечных точек Cisco SSL VPN. Анализ инфраструктуры и временных рамок указывает на то, что это единая кампания, переключающаяся между различными VPN-платформами.
Изображение носит иллюстративный характер
Под угрозой находится все программное обеспечение Cisco AsyncOS Software, независимо от версии релиза. Атака нацелена на конкретные устройства: Cisco Secure Email Gateway и Cisco Secure Email and Web Manager. Хотя полный масштаб инцидента пока не определен, известно, что он затрагивает «ограниченное подмножество устройств» с определенными портами, открытыми для доступа из интернета. Злоумышленники используют эти векторы для внедрения механизмов постоянства, сохраняя контроль над скомпрометированным оборудованием.
Ответственность за атаки возлагается на группу UAT-9686, которая классифицируется как китайская кибершпионская группировка уровня APT (Advanced Persistent Threat). Использование инструмента AquaTunnel связывает данного актора с уже известными китайскими хакерскими группами APT41 и UNC5174. Арсенал злоумышленников также включает AquaShell — легковесный бэкдор, написанный на Python. Этот вредоносный скрипт пассивно прослушивает неаутентифицированные HTTP POST-запросы со специально подготовленными данными. При получении таких запросов AquaShell декодирует содержимое с помощью пользовательской процедуры и выполняет команды в системной оболочке.
В условиях отсутствия официального патча администраторам необходимо немедленно принять меры по смягчению последствий. Ключевые рекомендации включают восстановление безопасной конфигурации устройств, ограничение доступа в интернет и защиту оборудования брандмауэром, разрешающим трафик только с доверенных хостов. Критически важно разделить функции почты и управления на разные сетевые интерфейсы, отключить HTTP для главного портала администратора и деактивировать неиспользуемые сетевые службы. Также следует тщательно отслеживать веб-журналы на предмет подозрительной активности.
Для повышения безопасности аутентификации рекомендуется использовать надежные методы проверки пользователей, такие как SAML или LDAP, и сменить пароли администраторов по умолчанию на сложные варианты. Однако, если устройство уже было скомпрометировано, простые меры защиты не помогут. Единственным действенным способом устранения механизма персистентности (постоянного присутствия злоумышленника) является полная перестройка (rebuilding) устройств. Любые другие попытки очистки системы считаются ненадежными.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) отреагировало на инцидент, добавив CVE-2025-20393 в каталог известных эксплуатируемых уязвимостей (KEV). В соответствии с директивой, федеральные агентства гражданской исполнительной власти (FCEB) обязаны применить меры по снижению рисков до 24 декабря 2025 года. Это подчеркивает критичность ситуации и необходимость оперативных действий со стороны государственных и частных организаций.
Параллельно с эксплуатацией уязвимости нулевого дня компания GreyNoise, занимающаяся анализом угроз, зафиксировала скоординированную автоматизированную кампанию по перебору учетных данных. Эта активность направлена на инфраструктуру аутентификации корпоративных VPN, в частности Cisco SSL VPN и Palo Alto Networks GlobalProtect. Важно отметить, что в данном случае речь идет не об эксплуатации уязвимости, а о брутфорсе и скриптовых попытках входа в систему.
По данным GreyNoise, 11 декабря 2025 года более 10 000 уникальных IP-адресов предприняли попытки автоматизированного входа на порталы GlobalProtect. География целей включала США, Пакистан и Мексику. Уже на следующий день, 12 декабря 2025 года, 1 273 IP-адреса начали атаки методом перебора против конечных точек Cisco SSL VPN. Анализ инфраструктуры и временных рамок указывает на то, что это единая кампания, переключающаяся между различными VPN-платформами.
