Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Cisco schließt kritische Zero-Day-Lücke in Secure Email Gateways : China-nahe APT nutzte RCE-Schwachstelle mit Root-Rechten aktiv aus

Eine aktiv ausgenutzte Zero-Day-Schwachstelle mit maximalem Schweregrad hat zentrale E-Mail-Sicherheitskomponenten von Cisco kompromittiert. Eine China-nahe Advanced Persistent Threat (APT) Gruppe verschaffte sich vollständigen Systemzugriff auf betroffene Appliances. Erst Wochen später stellte Cisco Sicherheitsupdates bereit.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 2 Min.

Cisco hat Sicherheitsupdates für eine schwerwiegende Schwachstelle in Cisco AsyncOS Software veröffentlicht. Betroffen sind Cisco Secure Email Gateway sowie Cisco Secure Email and Web Manager. Das Unternehmen bestätigte, dass die Lücke bereits vor der Offenlegung aktiv von einer China-verbundenen ATP-Gruppe mit dem Codenamen UAT-9686 ausgenutzt wurde.

Die Schwachstelle wird unter der Kennung CVE-2025-20393 geführt und erreicht mit einem CVSS-Wert von 10,0 die höchste Risikostufe. Es handelt sich um eine Remote-Command-Execution- (RCE)Schwachstelle, die durch eine unzureichende Validierung von HTTP-Anfragen innerhalb der Spam-Quarantäne-Funktion verursacht wird. Ein erfolgreicher Angriff ermöglicht die Ausführung beliebiger Befehle mit Root-Rechten auf dem zugrunde liegenden Betriebssystem der Appliance.

Technische Voraussetzungen für den Angriff

Damit die Schwachstelle erfolgreich ausgenutzt werden kann, müssen drei konkrete Bedingungen erfüllt sein:

  • Die Appliance nutzt eine verwundbare Version von Cisco AsyncOS Software
  • Die Spam-Quarantäne-Funktion ist aktiviert
  • Die Spam-Quarantäne-Funktion ist aus dem Internet erreichbar

Sind diese Voraussetzungen gegeben, kann ein Angreifer ohne Authentifizierung vollständige Kontrolle über das System erlangen. Besonders kritisch ist dies, da Secure Email Gateways typischerweise tief in die Kommunikationsinfrastruktur von Unternehmen integriert sind.

Eingesetzte Schadsoftware und Angriffswerkzeuge

Cisco zufolge nutzte UAT-9686 die Schwachstelle bereits seit Ende November 2025 aktiv aus. Nach der Kompromittierung installierten die Angreifer verschiedene Werkzeuge zur Absicherung ihres Zugriffs und zur Verschleierung ihrer Aktivitäten. Dazu zählten unter anderem Tunneling-Werkzeuge wie ReverseSSH, auch bekannt als AquaTunnel, sowie Chisel. Zusätzlich kam mit AquaPurge ein speziell entwickeltes Werkzeug zur Bereinigung von Protokolldateien zum Einsatz.

Ein weiteres zentrales Element der Angriffskampagne ist eine leichtgewichtige Python-Hintertür mit dem Namen AquaShell. Diese ist in der Lage, kodierte Befehle zu empfangen und auszuführen. Dadurch konnten die Angreifer kompromittierte Systeme flexibel steuern und ihre Aktivitäten dynamisch anpassen.

Gepatchte Versionen und empfohlene Schutzmaßnahmen

Cisco hat die Schwachstelle in mehreren Versionen der AsyncOS Software geschlossen und gleichzeitig dafür gesorgt, dass dauerhaft eingerichtete Hintertüren und andere Überreste der Angriffe von den betroffenen Systemen entfernt wurden.

Cisco Secure Email Gateway

  • Cisco AsyncOS Software Version 14.2 und älter (behoben in Version 15.0.5-016)
  • Cisco AsyncOS Software Version 15.0 (behoben in Version 15.0.5-016)
  • Cisco AsyncOS Software Version 15.5 (behoben in Version 15.5.4-012)
  • Cisco AsyncOS Software Version 16.0 (behoben in Version 16.0.4-016)

Secure Email and Web Manager

  • Cisco AsyncOS Software Version 15.0 und älter (behoben in Version 15.0.2-007)
  • Cisco AsyncOS Software Version 15.5 (behoben in Version 15.5.4-007)
  • Cisco AsyncOS Software Version 16.0 (behoben in Version 16.0.4-010)

Zusätzlich empfiehlt Cisco eine Reihe von Härtungsmaßnahmen. Dazu gehören die Absicherung der Appliances hinter einer Firewall, die Einschränkung des Zugriffs aus ungesicherten Netzwerken, die Überwachung von Webprotokollen auf ungewöhnlichen Datenverkehr, das Deaktivieren von HTTP für das zentrale Administrationsportal, das Abschalten nicht benötigter Netzwerkdienste, der Einsatz starker Authentifizierungsverfahren wie Security Assertion Markup Language (SAML) oder Lightweight Directory Access Protocol (LDAP), sowie die Änderung aller standardmäßig voreingestellten Administratorpasswörter.

Bedeutung für die Sicherheitsstrategie von Unternehmen

E-Mail-Sicherheitsgateways sind für staatlich unterstützte Angreifer besonders attraktiv. Als zentrale Kontrollinstanz für Unternehmenskommunikation bieten sie nicht nur Zugriff auf sensible Inhalte, sondern auch eine ideale Ausgangsbasis für weitergehende Angriffe. Konsequentes Patch-Management, restriktive Konfigurationen und kontinuierliche Überwachung bleiben daher essenzielle Bestandteile einer belastbaren Sicherheitsstrategie.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.