Cisco ostrzega przed luką w Secure Email Gateway – czas na aktualizację

Czy „bezpieczna” brama e‑mailowa może stać się furtką dla obcych? Cisco właśnie przypomniało, że tak – jeśli dopuścisz do tego konfiguracją.

Cisco wypuściło poprawki na zero‑daya o maksymalnej powadze (CVE‑2025‑20393, CVSS 10.0) w AsyncOS dla Secure Email Gateway (SEG) i Secure Email and Web Manager (SEWM). Luka była aktywnie wykorzystywana co najmniej od końca listopada przez grupę UAT‑9686 powiązaną z Chinami, pozwalając na wykonanie poleceń z uprawnieniami roota i instalację trwałych backdoorów. Patch nie tylko zamyka błąd – usuwa też znane mechanizmy przetrwania atakujących.

Dlaczego to ważne? Bo mówimy o urządzeniach brzegowych, które filtrują pocztę całych organizacji, często stoją na styku z internetem i rzadko mają luksus „niedotykania” ich w produkcji. CISA po dodaniu luki do katalogu KEV postawiła rzecz jasno: załataj lub odizoluj natychmiast. To kolejny epizod w serii ataków na sprzęt i oprogramowanie sieciowe Cisco, które w 2025 r. regularnie trafiało na celownik APT.

O co poszło

Sedno problemu: niewystarczająca walidacja żądań HTTP w funkcji Spam Quarantine. W praktyce – zdalne wykonanie poleceń z roota na podatnym appliance. Żeby exploit zadziałał, muszą zaistnieć trzy warunki jednocześnie: urządzenie działa na podatnej wersji AsyncOS, Spam Quarantine jest włączone i… wystawione do internetu. Ten ostatni punkt nie jest domyślną konfiguracją, ale jak pokazuje życie, „edge case” to w IT codzienność.

Jak wyglądał atak

Talos przypisał kampanię (z umiarkowaną pewnością) grupie UAT‑9686, której narzędzia i infrastruktura nachodzą na te używane przez APT41 czy UNC5174. Po włamaniu atakujący zrzucali lekkiego backdoora AquaShell (Python), tunelowali ruch przez ReverseSSH/AquaTunnel i Chisel, a na koniec wycierali ślady AquaPurge’em. To prosty, skuteczny zestaw: tunel do domu, pilot wpięty w system i gumka do mazania logów. Cisco odnotowało trwałe mechanizmy przetrwania na zainfekowanych urządzeniach – stąd twarde zalecenie: jeśli kompromitacja została potwierdzona, jedyną pewną metodą usunięcia wroga jest przebudowa appliance’u. [2][5]

Co zmienia patch

Na początku stycznia Cisco udostępniło poprawki zamykające CVE‑2025‑20393 dla AsyncOS w SEG i SEWM oraz – co ważne – automatycznie usuwające znane implanty z kampanii. W SEG luka jest załatana m.in. w 15.0.5‑016, 15.5.4‑012 i 16.0.4‑016, a w SEWM w 15.0.2‑007, 15.5.4‑007 i 16.0.4‑010. Jeśli jesteś administratorem, scenariusz jest prosty: aktualizacja do wersji naprawionej, odcięcie interfejsów od niezaufanych sieci, wyłączenie HTTP na portalu admina, wymuszenie mocnego uwierzytelniania (SAML/LDAP), ograniczenie zbędnych usług i uważny monitoring logów. Jeśli Spam Quarantine lub web‑management masz wystawione do internetu – przenieś to za firewall i przestań kusić los. [9]

Kontekst i szerszy trend

Gdy Cisco ujawniło sprawę w grudniu, łatki jeszcze nie było, a ataki trwały od tygodni. Firma podkreślała, że dotyczy to „niestandardowych konfiguracji” – takich, w których Spam Quarantine jest publicznie dostępne. Branża zareagowała trzeźwo: „Wskazanie niestandardowej konfiguracji to nie obwinianie użytkowników – to techniczny szczegół, który pomaga bronić” – mówił Douglas McKee z Rapid7. Puenta? „Oprogramowanie zawodzi w określonych warunkach i to producent musi je uwzględnić.” Dustin Childs z Trend Micro dodawał, że takie warunki sugerują celowane ataki, ale nikt nie wie, jak wielu klientów miało tę funkcję wystawioną. [3]

Nieprzypadkowo znów chodzi o urządzenia brzegowe i oprogramowanie zarządzające. To kuszący cel: jedno włamanie daje wpływ na ruch wielu systemów. 2025 pokazał to już przy wcześniejszych zero‑dayach w firewallach i IOS XE. APT z chińskiego ekosystemu są szybkie w „przerabianiu” świeżych błędów na operacyjne włamania – tu też nie było wyjątku.

Komentarz

Takie incydenty uczą dwóch prostych rzeczy. Po pierwsze, „nie domyślne” nie znaczy „niemożliwe” – projektując system trzeba zakładać, że ktoś jednak włączy rzadko używaną opcję i zapomni postawić ją za murem. Po drugie, rozdzielenie płaszczyzny zarządzania od funkcji przetwarzania i trzymanie obu z dala od internetu to nie „best practice” na slajdach, tylko warunek przetrwania. Brama pocztowa to nie serwer www – nie musi rozmawiać ze światem na wszystkich portach.

Podsumowanie

Patch jest. Atakujący byli wcześniej. Jeśli masz SEG/SEWM i kiedykolwiek wystawiłeś Spam Quarantine lub web‑management na świat – traktuj sprawę jak incydent, nie jak potencjalne ryzyko. Zaktualizuj, utwardź, sprawdź ślady, a w razie kompromitacji – odbuduj. I na przyszłość: czy naprawdę cokolwiek z „management” musi być dostępne z internetu?

FAQ

Czy CVE‑2025‑20393 w Cisco AsyncOS ma już łatkę?

Tak. Cisco wydało poprawki na początku stycznia 2026 dla SEG i SEWM. Aktualizacja dodatkowo usuwa znane implanty z tej kampanii.

Które wersje Cisco AsyncOS zawierają poprawkę na CVE‑2025‑20393?

Minimalnie: dla SEG m.in. 15.0.5‑016, 15.5.4‑012 i 16.0.4‑016, a dla SEWM 15.0.2‑007, 15.5.4‑007 i 16.0.4‑010. Sprawdź swój dokładny release w doradztwie Cisco i zaktualizuj do wersji oznaczonej jako fixed.

Jak sprawdzić, czy moja brama e‑mailowa jest narażona na CVE‑2025‑20393?

Urządzenie jest narażone, jeśli działa podatny AsyncOS, ma włączone Spam Quarantine i ta funkcja jest osiągalna z internetu. Jeśli tak było, potraktuj system jako potencjalnie naruszony i przejdź procedurę weryfikacji/odbudowy z advisory Cisco.

Czy po kompromitacji SEG/SEWM wystarczy instalacja łatki?

Nie. Jeśli kompromitacja została potwierdzona, jedynym pewnym sposobem usunięcia trwałych implantów jest pełne przebudowanie urządzenia. Patch zamyka lukę i usuwa znane artefakty, ale nie gwarantuje likwidacji wszystkich modyfikacji atakującego.

Czy funkcję Spam Quarantine można bezpiecznie używać po aktualizacji?

Tak, pod warunkiem, że nie jest wystawiona do internetu i dostęp do niej jest ograniczony (firewall, lista zaufanych hostów, silne uwierzytelnianie). Wystawianie interfejsów zarządzania/quarantine publicznie to proszenie się o kłopoty.

Źródła

• [1] https://thehackernews.com/2026/01/china-linked-apt-exploits-sitecore-zero.html
• [2] https://bleepingcomputer.com/news/security/cisco-finally-fixes-asyncos-zero-day-exploited-since-november/
• [3] https://cyberscoop.com/cisco-zero-day-attacks-china-apt/
• [4] https://theregister.com/2025/12/17/attacks_pummeling_cisco_0day/
• [5] https://itpro.com/security/cyber-attacks/cisco-says-chinese-hackers-are-exploiting-an-unpatched-asyncos-zero-day-flaw-heres-what-we-know-so-far
• [6] https://socprime.com/blog/cve-2025-20393-vulnerability-exploitation/
• [7] https://itsecuritynews.info/china-linked-apt-uat-9686-abused-now-patched-maximum-severity-asyncos-bug/
• [8] https://cyble.com/blog/weekly-vulnerabilities-surge-trend-2026/
• [9] https://thehackernews.com/2026/01/cisco-patches-zero-day-rce-exploited-by.html
• [10] https://bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/