Cve-2025-20393

A Cisco anunciou a correção de uma vulnerabilidade crítica em seus roteadores, identificada como CVE-2025-20393, que permitia a execução remota de códigos no AsyncOS, afetando o Gateway de E-mail Seguro (SEG) e o Gerenciador Seguro de Web e E-mail (SEWM). A falha foi explorada por grupos de hackers chineses, incluindo UAT-9686, APT41 e UNC5174, durante pelo menos cinco semanas, desde novembro de 2025. Os atacantes conseguiram instalar mecanismos de persistência, como uma backdoor chamada Aquashell, que permitia o controle contínuo dos sistemas comprometidos. A Cisco recomenda que as organizações afetadas atualizem seus softwares imediatamente e contatem seu Centro de Assistência Técnica para suporte. Embora a empresa tenha corrigido a falha, não divulgou quantas instâncias foram comprometidas ou o número de organizações afetadas, o que levanta preocupações sobre a extensão do ataque e a segurança dos dados das vítimas.

A Cisco lançou um patch para uma vulnerabilidade crítica de zero-day no Cisco AsyncOS, que estava sendo explorada em ataques a dispositivos Secure Email Gateway (SEG) e Secure Email and Web Manager (SEWM) desde novembro de 2025. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root no sistema operacional dos dispositivos afetados, especialmente quando a funcionalidade de Spam Quarantine está habilitada e exposta à Internet. A Cisco Talos, equipe de inteligência de ameaças da empresa, atribui os ataques a um grupo de hackers chinês conhecido como UAT-9686, que utilizou ferramentas como AquaShell e AquaTunnel para manter acesso persistente e ocultar suas atividades maliciosas. A CISA também incluiu essa vulnerabilidade em seu catálogo de falhas conhecidas, exigindo que agências federais tomem medidas de segurança até 24 de dezembro. A Cisco recomenda que os administradores verifiquem a exposição e apliquem as correções assim que disponíveis, dado que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos para a segurança.

A Cisco anunciou atualizações de segurança para uma vulnerabilidade crítica em seu software AsyncOS, utilizado no Cisco Secure Email Gateway e no Cisco Secure Email and Web Manager. A falha, identificada como CVE-2025-20393, possui uma pontuação CVSS de 10.0, indicando seu alto potencial de risco. Essa vulnerabilidade permite a execução remota de comandos com privilégios de root, devido à validação insuficiente de requisições HTTP na funcionalidade de Spam Quarantine. Para que um ataque seja bem-sucedido, três condições devem ser atendidas: o appliance deve estar rodando uma versão vulnerável do software, a funcionalidade de Spam Quarantine deve estar habilitada e acessível pela internet. A Cisco identificou que um ator de ameaça persistente avançada, conhecido como UAT-9686, explorou essa falha desde novembro de 2025, utilizando ferramentas como ReverseSSH e um backdoor em Python chamado AquaShell. A empresa já lançou patches para diversas versões do AsyncOS e recomenda que os usuários sigam diretrizes de segurança, como proteger os appliances atrás de firewalls e desabilitar serviços de rede desnecessários.

A Cisco alertou sobre uma vulnerabilidade zero-day de gravidade máxima no software Cisco AsyncOS, que está sendo ativamente explorada por um grupo de ameaças persistentes avançadas (APT) da China, conhecido como UAT-9686. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root em dispositivos afetados, comprometendo a segurança do sistema operacional subjacente. A vulnerabilidade afeta todas as versões do Cisco AsyncOS, mas a exploração só é possível se o recurso de Quarentena de Spam estiver habilitado e acessível pela internet. A Cisco recomenda que os usuários verifiquem a configuração de seus dispositivos e adotem medidas de segurança, como limitar o acesso à internet e monitorar o tráfego de logs. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais implementem mitigação até 24 de dezembro de 2025. Além disso, a GreyNoise relatou uma campanha coordenada de tentativas de login automatizadas em infraestruturas de autenticação de VPN, destacando a necessidade de vigilância contínua contra ataques cibernéticos.