Vulnerabilitate Cisco 0-Day RCE Secure Email Gateway exploatată activ
Sursă: https://cybersecuritynews.com
Cisco a confirmat exploatarea activă a unei vulnerabilități critice de tip zero-day de executare a codului la distanță în dispozitivele sale Secure Email Gateway și Secure Email and Web Manager.
Urmărită ca CVE-2025-20393, vulnerabilitatea permite atacatorilor neautentificați să execute comenzi arbitrare la nivel de root prin cereri HTTP special create către funcția Spam Quarantine.
Vulnerabilitatea provine din validarea insuficientă a cererilor HTTP în funcția Spam Quarantine a software-ului Cisco AsyncOS, permițând executarea de comenzi la distanță cu privilegii de root pe dispozitivele afectate.
Clasificată sub CWE-20 (Validare incorectă a datelor introduse), aceasta atinge un scor maxim CvSS de 10/10), punând în evidență accesibilitatea sa la rețea, complexitatea redusă și impactul complet asupra confidențialității, integrității și disponibilității.
Exploatarea vizează dispozitivele pe care este activată funcția Spam Quarantine și care sunt expuse la internet, de obicei pe portul 6025, o configurație care nu este activată în mod implicit și care este descurajată în ghidurile de implementare.
Atacatorii utilizează un backdoor bazat pe Python numit AquaShell pentru accesul persistent la distanță, alături de instrumente de tunneling SSH reverse precum AquaTunnel și Chisel pentru pivotare internă și AquaPurge pentru ștergerea jurnalelor, în scopul de a evita detectarea.
Cisco a lansat patch-uri care remediază vulnerabilitatea și elimină mecanismele de persistență cunoscute; nu există soluții alternative. Administratorii trebuie să efectueze imediat actualizarea și să confirme statusul Spam Quarantine (Carantină spam) prin intermediul interfeței web din Network > IP Interfaces (Rețea > Interfețe IP).
Măsurile suplimentare de securizare includ utilizarea unui firewall, separarea interfețelor de e-mail/administrare, dezactivarea serviciilor inutile, cum ar fi HTTP/FTP, și utilizarea unor protocoale de autentificare puternice, cum ar fi SAML sau LDAP.
Serviciile Cisco Secure Email Cloud nu sunt afectate.
Sursă: https://cybersecuritynews.com/cisco-0-day-rce-secure-email-gateway-vulnerability/
