Asyncos

A Cisco anunciou atualizações de segurança para uma vulnerabilidade crítica em seu software AsyncOS, utilizado no Cisco Secure Email Gateway e no Cisco Secure Email and Web Manager. A falha, identificada como CVE-2025-20393, possui uma pontuação CVSS de 10.0, indicando seu alto potencial de risco. Essa vulnerabilidade permite a execução remota de comandos com privilégios de root, devido à validação insuficiente de requisições HTTP na funcionalidade de Spam Quarantine. Para que um ataque seja bem-sucedido, três condições devem ser atendidas: o appliance deve estar rodando uma versão vulnerável do software, a funcionalidade de Spam Quarantine deve estar habilitada e acessível pela internet. A Cisco identificou que um ator de ameaça persistente avançada, conhecido como UAT-9686, explorou essa falha desde novembro de 2025, utilizando ferramentas como ReverseSSH e um backdoor em Python chamado AquaShell. A empresa já lançou patches para diversas versões do AsyncOS e recomenda que os usuários sigam diretrizes de segurança, como proteger os appliances atrás de firewalls e desabilitar serviços de rede desnecessários.

A Cisco alertou sobre uma vulnerabilidade zero-day de gravidade máxima no software Cisco AsyncOS, que está sendo ativamente explorada por um grupo de ameaças persistentes avançadas (APT) da China, conhecido como UAT-9686. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root em dispositivos afetados, comprometendo a segurança do sistema operacional subjacente. A vulnerabilidade afeta todas as versões do Cisco AsyncOS, mas a exploração só é possível se o recurso de Quarentena de Spam estiver habilitado e acessível pela internet. A Cisco recomenda que os usuários verifiquem a configuração de seus dispositivos e adotem medidas de segurança, como limitar o acesso à internet e monitorar o tráfego de logs. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais implementem mitigação até 24 de dezembro de 2025. Além disso, a GreyNoise relatou uma campanha coordenada de tentativas de login automatizadas em infraestruturas de autenticação de VPN, destacando a necessidade de vigilância contínua contra ataques cibernéticos.