AsyncOS zero-day

Cisco под конец года решила подкинуть администраторам ещё один подарок: активно эксплуатируемый zero-day в AsyncOS, без патча, с максимальной критичностью и с APT на хвосте. Уязвимость уже используется в реальных атаках, а апдейта, который всё это починит, пока не существует. Добро пожаловать в режим «живём с mitigations и молимся».

Речь идёт о CVE-2025-20393 — zero-day в Cisco AsyncOS, который бьёт по Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM). Эксплойт не универсальный, но достаточно неприятный: уязвимы устройства с нестандартной конфигурацией, когда включён Spam Quarantine и он торчит в интернет. То есть всё, что когда-то настраивали по принципу «пусть будет доступно, вдруг понадобится».

Cisco официально подтвердила, что уязвимость уже эксплуатируется в атаках. По данным Cisco Talos, за кампанией стоит китайская APT-группа, которую они отслеживают под именем UAT-9686. И это не шумные криптомайнеры и не школьники с Metasploit — это аккуратная, методичная эксплуатация с persistence, туннелями и зачисткой логов.

Эксплойт позволяет выполнять произвольные команды с правами root. Да, сразу root. Без sandbox, без «ограниченного пользователя», без прелюдий. После получения доступа атакующие разворачивают собственный набор инструментов: AquaShell в роли механизма постоянного присутствия, AquaTunnel и Chisel для reverse SSH-туннелей и AquaPurge для подчистки следов. Названия звучат почти дружелюбно, но делают они ровно то, что вы думаете.

Talos отмечает, что используемые тулзы и инфраструктура пересекаются с другими китайскими группами, включая UNC5174 и APT41. То есть это не разовая акция, а часть знакомой экосистемы инструментов, которые уже много лет всплывают в атаках на сетевую и почтовую инфраструктуру.

По оценке Cisco, кампания активна как минимум с конца ноября 2025 года, хотя обнаружили её только 10 декабря. Сколько устройств успели получить «гостей» за это время — вопрос открытый. Indicators of Compromise уже выложены, но, как обычно, это утешение постфактум.

Самый неприятный момент — патча нет. Вообще. Cisco честно говорит: обновлений, закрывающих CVE-2025-20393, пока не существует. Всё, что можно сделать, — это срочно ограничивать поверхность атаки.

Рекомендации звучат как чеклист «как вы и так должны были настроить систему». Закрыть доступ из интернета, ограничить подключения доверенными хостами, поставить всё за firewall, разделить обработку почты и управление, внимательно смотреть web-логи и не удалять их «для экономии места». Плюс отключить всё лишнее, обновиться до последней версии AsyncOS (которая, спойлер, всё равно уязвима), включить нормальную аутентификацию через SAML или LDAP и сменить дефолтные пароли, если они вдруг ещё живы.

Отдельный совет — проверить, не торчит ли web management или Spam Quarantine наружу. Если торчит — Cisco настоятельно рекомендует пройти многошаговый процесс восстановления безопасной конфигурации. А если восстановить нельзя, то добро пожаловать в TAC.

И тут начинается самое весёлое. Если компрометация подтверждена, Cisco прямо говорит: единственный надёжный способ вычистить persistence — это пересобрать устройство с нуля. Не «перезагрузить», не «поставить апдейт», а именно rebuild. Потому что AquaShell, судя по всему, живёт глубоко и уходит красиво.

В сухом остатке мы имеем классический сценарий конца 2025 года. Почтовый шлюз, который по идее должен защищать, сам становится точкой входа. Zero-day без патча. APT-группа с опытом. И админы, которые срочно проверяют, не оставили ли они когда-то Spam Quarantine доступным «на всякий случай».