Cisco Perşembe günü, Cisco Güvenli E-posta Ağ Geçidi ve Cisco Güvenli E-posta ve Web Yöneticisi için Cisco AsyncOS Yazılımını etkileyen maksimum ciddiyette bir güvenlik kusuru için güvenlik güncellemelerini yayınladı; bu, şirketin UAT-9686 kod adlı Çin nexus gelişmiş kalıcı tehdit (APT) aktörü tarafından sıfır gün olarak istismar edildiğini açıklamasından yaklaşık bir ay sonra.
Şu şekilde izlenen güvenlik açığı: CVE-2025-20393 (CVSS puanı: 10.0), HTTP isteklerinin Spam Karantinası özelliği tarafından yetersiz doğrulanması sonucu ortaya çıkan bir uzaktan komut yürütme hatasıdır. Kusurun başarıyla kullanılması, bir saldırganın, etkilenen cihazın temel işletim sistemi üzerinde kök ayrıcalıklarıyla rastgele komutlar yürütmesine olanak tanıyabilir.
Ancak saldırının işe yaraması için üç koşulun karşılanması gerekiyor:
- Cihaz, Cisco AsyncOS Yazılımının güvenlik açığı bulunan bir sürümünü çalıştırıyor
- Cihaz Spam Karantinası özelliğiyle yapılandırılmıştır
- Spam Karantinası özelliği internete açıktır ve internetten erişilebilir durumdadır
Geçen ay, ağ ekipmanı uzmanı, UAT-9686’nın Kasım 2025 gibi erken bir tarihte, ReverseSSH (aka AquaTunnel) ve Chisel gibi tünel açma araçlarını ve AquaPurge adlı bir günlük temizleme yardımcı programını bırakmak için bu güvenlik açığından yararlandığına dair kanıt bulduğunu açıkladı.
Saldırılar ayrıca, kodlanmış komutları alıp bunları yürütebilen, AquaShell adı verilen hafif bir Python arka kapısının konuşlandırılmasıyla da karakterize ediliyor.
Bu saldırı kampanyasında belirlenen ve cihazlara yüklenen kalıcılık mekanizmalarının kaldırılmasına ek olarak, güvenlik açığı artık aşağıdaki sürümlerde giderilmiştir:
Cisco E-posta Güvenliği Ağ Geçidi
- Cisco AsyncOS Yazılım Sürümü 14.2 ve öncesi (15.0.5-016’da düzeltildi)
- Cisco AsyncOS Yazılım Sürümü 15.0 (15.0.5-016’da Düzeltildi)
- Cisco AsyncOS Yazılımı Sürüm 15.5 (15.5.4-012’de Düzeltildi)
- Cisco AsyncOS Yazılım Sürümü 16.0 (16.0.4-016’da Düzeltildi)
Güvenli E-posta ve Web Yöneticisi
- Cisco AsyncOS Yazılım Sürümü 15.0 ve öncesi (15.0.2-007’de düzeltildi)
- Cisco AsyncOS Yazılımı Sürüm 15.5 (15.5.4-007’de Düzeltildi)
- Cisco AsyncOS Yazılım Sürümü 16.0 (16.0.4-010’da Düzeltildi)
Bunlara ek olarak Cisco, müşterilerini güvenli olmayan ağlardan erişimi önlemek için sağlamlaştırma yönergelerini takip etmeye, cihazları bir güvenlik duvarı arkasında korumaya almaya, cihazlardan gelen/cihazlardan gelen beklenmeyen trafik açısından web günlüğü trafiğini izlemeye, ana yönetici portalı için HTTP’yi devre dışı bırakmaya, gerekli olmayan tüm ağ hizmetlerini devre dışı bırakmaya, cihazlarda son kullanıcı kimlik doğrulamasının güçlü bir biçimini uygulamaya (örneğin, SAML veya LDAP) ve varsayılan yönetici şifresini daha güvenli bir değişkenle değiştirmeye çağırıyor.