- Cisco corrige falha crítica de RCE (CVE-2025-20393) em ferramentas de e-mail seguro
- Grupos patrocinados pelo Estado chinês exploraram-no durante semanas usando Aquashell e ferramentas de tunelamento
- As atualizações removem mecanismos de persistência; A extensão do envolvimento global é desconhecida
Uma vulnerabilidade de gravidade máxima em alguns produtos Cisco foi finalmente resolvida após ser explorada por hackers chineses durante várias semanas.
Em meados de dezembro de 2025, a gigante da web divulgou uma vulnerabilidade de execução remota de código (RCE) no AsyncOS que afeta as ferramentas Secure Email Gateway (SEG) e Secure Email and Web Manager (SEWM). Ele rastreou o bug como CVE-2025-20393 e atribuiu-lhe uma pontuação de gravidade de 10/10 (crítico).
“Este ataque permite que os agentes da ameaça executem comandos arbitrários com privilégios de root no sistema operacional subjacente de um dispositivo afetado”, disse a Cisco na época. “Pesquisas em andamento revelaram evidências de um mecanismo de persistência que os agentes de ameaças implementaram para manter um nível de controle sobre os dispositivos comprometidos”.
Cisco (eventualmente) corrige isso
Após a notificação inicial, surgiram relatórios adicionais de que agentes de ameaças patrocinados pelo Estado chinês, rastreados como UAT-9686, APT41 e UNC5174, têm explorado esta vulnerabilidade “pelo menos desde o final de novembro de 2025”.
Pelo menos um desses grupos tinha como alvo instâncias do Cisco Secure Email Gateway e do Cisco Secure Email e Web Manager com um backdoor persistente baseado em Python chamado Aquashell, bem como AquaTunnel (um túnel SSH reverso), cinzel (uma ferramenta de tunelamento) e AquaPurge (um utilitário de limpeza de log).
A Cisco disse que estava trabalhando em uma solução, ofereceu conselhos sobre como fortalecer as redes, mas não deu um prazo para o lançamento. Agora, um patch foi disponibilizado para todos.
“Essas atualizações também removem mecanismos de persistência que podem ter sido instalados em uma campanha de ataque cibernético relacionada”, disse um porta-voz da Cisco.
“A Cisco recomenda fortemente que os clientes afetados atualizem para uma versão fixa de software apropriada, conforme descrito no comunicado de segurança atualizado. Os clientes que necessitam de assistência devem entrar em contato com o Centro de Suporte Técnico da Cisco.”
Apesar da falha de gravidade máxima, que pode ser explorada durante pelo menos cinco semanas, não sabemos quantos casos foram comprometidos, ou quantas organizações nos EUA e noutros lugares foram vítimas de hackers chineses.
Através registro
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
