Cisco alerta para exploração ativa de falha zero-day crítica em appliances AsyncOS

A Cisco emitiu um alerta urgente sobre uma vulnerabilidade zero-day de severidade máxima em seu software Cisco AsyncOS, que já está sendo explorada ativamente em ataques direcionados a appliances Cisco Secure Email Gateway e Cisco Secure Email and Web Manager. Segundo a empresa, a falha vem sendo explorada por um grupo hacker com supostos vínculos com a China, identificado pelo codinome UAT-9686.

A campanha de invasões foi identificada pela Cisco em 10 de dezembro de 2025 e, até o momento, atinge um “conjunto limitado de appliances” que possuem portas específicas expostas diretamente à internet. Ainda não há confirmação oficial sobre o número total de clientes impactados. De acordo com a Cisco, a exploração da falha permite que hackers executem comandos arbitrários com privilégios de root no sistema operacional subjacente dos dispositivos afetados, além de implantar mecanismos de persistência para manter o controle mesmo após tentativas de mitigação.

A vulnerabilidade, ainda sem correção disponível, está registrada como CVE-2025-20393 e recebeu a pontuação máxima de 10.0 no CVSS. O problema está relacionado a uma validação inadequada de entradas, o que possibilita a execução de instruções maliciosas com privilégios elevados. Todas as versões do Cisco AsyncOS são afetadas, desde que algumas condições específicas sejam atendidas.

Para que a exploração ocorra, o recurso Spam Quarantine precisa estar habilitado e acessível pela internet vale destacar que essa funcionalidade não vem ativada por padrão. A Cisco orienta os administradores a verificarem se o recurso está ativo por meio da interface web de gerenciamento, acessando as configurações de rede e interfaces associadas ao Spam Quarantine.

As investigações apontam que os ataques estão em andamento desde pelo menos o final de novembro de 2025. Durante as invasões, o grupo hacker tem utilizado ferramentas de tunelamento como ReverseSSH (AquaTunnel) e Chisel, além de um utilitário de limpeza de logs chamado AquaPurge, com o objetivo de ocultar rastros da atividade maliciosa. O uso do AquaTunnel já foi associado anteriormente a outros grupos hackers chineses, como o APT41.

Outro componente identificado nos ataques é um backdoor em Python, batizado de AquaShell, capaz de receber comandos codificados por meio de requisições HTTP POST não autenticadas e executá-los diretamente no shell do sistema. Esse mecanismo amplia significativamente a capacidade de controle remoto dos dispositivos comprometidos.

Enquanto não há um patch disponível, a Cisco recomenda medidas imediatas de mitigação, como restringir o acesso dos appliances à internet, posicioná-los atrás de firewalls permitindo conexões apenas de hosts confiáveis, separar interfaces de gerenciamento e de e-mail, monitorar logs web em busca de tráfego suspeito e desativar o acesso HTTP ao portal administrativo principal. A empresa também orienta a desativação de serviços de rede desnecessários, o uso de autenticação forte (como SAML ou LDAP) e a alteração da senha padrão de administrador.

Em casos de comprometimento confirmado, a Cisco afirma que a reconstrução completa dos appliances é, atualmente, a única forma eficaz de eliminar os mecanismos de persistência implantados pelos hackers.

Diante da gravidade do cenário, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) incluiu a CVE-2025-20393 em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV). Com isso, agências federais civis norte-americanas devem aplicar as mitigações necessárias até 24 de dezembro de 2025.

Paralelamente, a empresa de inteligência de ameaças GreyNoise identificou uma campanha automatizada de tentativas de login baseada em credenciais fracas contra infraestruturas de VPN corporativas. Mais de 10 mil endereços IP participaram de ataques de força bruta contra portais Palo Alto GlobalProtect e Cisco SSL VPN, utilizando combinações comuns de usuário e senha. Segundo a GreyNoise, trata-se de uma campanha em larga escala, automatizada e coordenada, embora não relacionada diretamente à exploração de vulnerabilidades.

Via - THN