- Cisco corrige falha crítica de RCE (CVE-2025-20393) em dispositivos Secure Email
- Grupos patrocinados pelo Estado chinês exploraram-no durante semanas usando Aquashell e ferramentas de tunelamento
- As atualizações removem mecanismos de persistência; a extensão do compromisso global permanece desconhecida
Uma vulnerabilidade de gravidade máxima em certos produtos Cisco foi finalmente resolvida após supostamente ter sido explorada por hackers chineses durante várias semanas.
Em meados de dezembro de 2025, a gigante das redes divulgou uma vulnerabilidade de execução remota de código (RCE) no AsyncOS que afeta E-mail seguro Dispositivos Gateway (SEG) e Secure Email and Web Manager (SEWM). Ele rastreou a falha como CVE-2025-20393 e atribuiu-lhe uma pontuação de gravidade de 10/10 (crítica).
“Este ataque permite que os agentes da ameaça executem comandos arbitrários com privilégios de root no servidor subjacente. sistema operacional de um dispositivo afetado”, disse a Cisco na época. “A investigação em andamento revelou evidências de um mecanismo de persistência implantado pelos atores da ameaça para manter um certo grau de controle sobre os dispositivos comprometidos.”
Cisco (finalmente) corrige isso
Logo após a divulgação inicial, surgiram relatórios adicionaisalegando que os agentes de ameaças patrocinados pelo Estado chinês, rastreados como UAT-9686, APT41 e UNC5174, têm abusado desta vulnerabilidade “pelo menos desde o final de novembro de 2025”.
Pelo menos um desses grupos supostamente tinha como alvo instâncias do Cisco Secure Email Gateway e do Cisco Secure Email and Web Manager com um sistema persistente baseado em Python. porta dos fundos chamado Aquashell, bem como AquaTunnel (um túnel SSH reverso), cinzel (outra ferramenta de tunelamento) e AquaPurge (utilitário de limpeza de log).
A Cisco disse que estava trabalhando em uma solução, ofereceu conselhos sobre como fortalecer as redes, mas não deu um prazo para a publicação. Agora, um patch foi disponibilizado para todos.
“Essas atualizações também removem mecanismos de persistência que podem ter sido instalados durante uma campanha de ataque cibernético relacionada”, disse um porta-voz da Cisco.
“A Cisco recomenda fortemente que os clientes afetados atualizem para uma versão de software fixa apropriada, conforme descrito no comunicado de segurança atualizado. Os clientes que precisarem de suporte devem entrar em contato com o Centro de Assistência Técnica da Cisco.”
Apesar de ser uma falha de gravidade máxima, explorável durante pelo menos cinco semanas, não sabemos quantas instâncias foram comprometidas, ou quantas organizações nos EUA e noutros lugares foram vítimas de hackers chineses.
Através O Registro
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.