Cisco a avertizat că o campanie activă de atacuri exploatează o vulnerabilitate critică (zero-day) din AsyncOS, sistemul de operare folosit de anumite produse de securitate email ale companiei. Potrivit informațiilor publicate, atacatorii pot obține control complet asupra echipamentelor afectate, iar în acest moment nu există un patch disponibil.
Ce produse sunt vizate și când apare riscul real
Țintele campaniei sunt Cisco Secure Email Gateway și Cisco Secure Email and Web Manager (appliance-uri fizice și virtuale) care rulează Cisco AsyncOS. Cisco precizează că exploatarea este asociată unor configurații specifice: funcția „Spam Quarantine” trebuie să fie activată, iar interfața relevantă să fie expusă către internet (internet-facing). Această funcție nu este activată implicit, ceea ce reduce expunerea în cazul implementărilor standard, însă nu o elimină pentru organizațiile care au publicat managementul/serviciul în exterior.
De ce este considerată o vulnerabilitate „de preluare completă”
Vulnerabilitatea este urmărită ca CVE-2025-20393 și are scor CVSS 10.0 (critic), cu impact ce permite execuție de comenzi cu privilegii ridicate pe sistemul de operare al appliance-ului, ceea ce echivalează, practic, cu o compromitere totală a dispozitivului.
CVE-2025-20393 a fost inclusă și în catalogul CISA Known Exploited Vulnerabilities (KEV), un indicator suplimentar că exploatarea are loc „în sălbăticie” și că remedierea/mitigarea trebuie tratată ca prioritate operațională. În înregistrarea NVD apar și reperele KEV, inclusiv data adăugării (17 decembrie 2025) și un termen de acțiune (24 decembrie 2025) pentru agențiile federale americane.
Ce se știe despre campania de atac
Cisco a indicat că a devenit conștientă de campanie pe 10 decembrie 2025, iar cercetători citați în presa de specialitate subliniază că una dintre probleme este lipsa unui patch, în timp ce rămâne neclar cât timp ar fi putut exista acces persistent pe unele sisteme compromise.
Conform relatărilor bazate pe analiza Cisco Talos, atacatorii folosesc exploitul pentru a instala mecanisme de persistență (backdoor-uri), iar campania ar fi fost activă cel puțin din a doua parte a lunii noiembrie 2025. În raportări publice, activitatea este descrisă ca fiind asociată unor actori conectați la China.
Fără patch, ce recomandă Cisco în acest moment
În lipsa unei actualizări de securitate, recomandarea principală comunicată public este una orientată spre eradicare: în caz de compromitere confirmată, refacerea (wipe + rebuild) a appliance-ului este prezentată drept singura opțiune viabilă pentru a elimina mecanismele de persistență.
Din perspectiva reducerii rapide a riscului, direcția generală (comună în alertele din ecosistemul de securitate) este limitarea suprafeței expuse: eliminarea accesului direct din internet către interfețele de administrare/funcțiile sensibile și verificarea strictă a configurațiilor care implică „Spam Quarantine”.
Ce ar trebui să verifice rapid administratorii
Pentru organizațiile care folosesc Cisco Secure Email Gateway sau Cisco Secure Email and Web Manager, trierea inițială se poate face în câteva întrebări operaționale, înainte de investigații ample:
Dacă „Spam Quarantine” este activă și publicată către internet, dispozitivul intră în categoria cu risc crescut descrisă de Cisco.
Dacă interfața de management este accesibilă din internet, restricționarea imediată (VPN, allowlist, segmentare, reguli de firewall) reduce șansele de exploatare oportunistă.
Dacă există suspiciuni de compromitere, planul trebuie să includă izolare, colectare de dovezi și refacerea controlată a appliance-ului, nu doar „curățări” parțiale.
