Cisco corrige falha zero-day em gateways de e-mail explorada por grupo hacker

A Cisco lançou atualizações de segurança para corrigir uma falha crítica de execução remota de código (RCE) que afeta o Cisco AsyncOS, utilizado no Cisco Secure Email Gateway e no Cisco Secure Email and Web Manager. A vulnerabilidade já vinha sendo explorada como zero-day por um grupo avançado ligado à China, identificado como UAT-9686.

A falha, registrada como CVE-2025-20393 e com pontuação máxima de 10.0 no CVSS, está relacionada à validação inadequada de requisições HTTP no recurso de Spam Quarantine. Quando explorada com sucesso, permite que um invasor execute comandos arbitrários com privilégios de root diretamente no sistema operacional do appliance afetado um cenário de alto impacto para ambientes corporativos.

Para que o ataque seja viável, três condições precisam ser atendidas: o equipamento deve estar executando uma versão vulnerável do AsyncOS, o recurso de Spam Quarantine deve estar habilitado e esse recurso precisa estar exposto à internet. De acordo com informações divulgadas anteriormente pela Cisco, o grupo UAT-9686 explora essa falha desde pelo menos novembro de 2025.

Durante as invasões, os hackers instalaram ferramentas de tunelamento como ReverseSSH (AquaTunnel) e Chisel, além de um utilitário para limpeza de logs chamado AquaPurge, com o objetivo de dificultar a detecção. Também foi identificado o uso de um backdoor em Python, denominado AquaShell, capaz de receber comandos codificados e executá-los remotamente.

A Cisco informou que, além de corrigir a vulnerabilidade, as atualizações removem os mecanismos de persistência utilizados pelos invasores. A empresa também reforçou uma série de boas práticas de hardening, incluindo restringir o acesso aos appliances por firewall, monitorar logs web, desabilitar HTTP no portal administrativo, utilizar autenticação forte (como SAML ou LDAP) e alterar a senha padrão de administrador.