- Cisco confirma vulnerabilidade de dia zero (CVE-2025-20393) em ferramentas de e-mail seguras exploradas por atores ligados à China
- Os invasores implantaram um backdoor Aquashell, ferramentas de tunelamento e utilitários de limpeza de registro para sobreviver
- A CISA adicionou o bug ao KEV; as agências devem consertar/cessar o uso até 24 de dezembro
Um ator de ameaça ligado à China está abusando de uma vulnerabilidade de dia zero em diversas ferramentas de e-mail da Cisco para obter acesso ao sistema subjacente e estabelecer persistência.
A Cisco confirmou a notícia em uma postagem no blog e em um comunicado de segurança, pedindo aos usuários que apliquem as recomendações e fortaleçam suas redes.
Em seu anúncio, a Cisco disse que viu atividade pela primeira vez em 10 de dezembro e determinou que ela havia começado pelo menos em novembro de 2025. Na campanha, o ator da ameaça rastreado como UAT-9686 abusou de uma falha no software Cisco AsyncOS para Cisco Secure Email Gateway e Cisco Secure Email and Web Manager para executar comandos persistentes em segundo plano no nível do sistema chamados Aquashell.
Dois grupos
A vulnerabilidade é rastreada como CVE-2025-20393 e recebeu uma pontuação de gravidade de 10/10 (Crítica).
A equipe foi vista implantando AquaTunnel (um túnel SSH reverso), cinzel (outra ferramenta de tunelamento) e AquaPurge (um utilitário de limpeza de log).
Dadas as ferramentas e infraestrutura utilizadas, a Cisco acredita que os ataques estão sendo realizados por pelo menos dois grupos: APT41 e rastreados como UNC5174. Ambos são muito ativos e bastante perigosos: abusam de serviços de nuvem legítimos, violam VPNs, firewalls e outras ferramentas, especialmente durante espionagem cibernética.
Ao mesmo tempo, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou-o ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), confirmando o abuso em estado selvagem. Os órgãos do Poder Executivo Civil Federal têm até 24 de dezembro para aplicar as correções previstas ou interromper totalmente o uso dos produtos vulneráveis.
No comunicado, a Cisco disse que os clientes deveriam restaurar os dispositivos expostos à Internet para uma configuração segura. Se forem impedidos de fazê-lo, deverão entrar em contato com a Cisco para verificar se correm risco.
“Se o compromisso for confirmado, reconstruir as ferramentas é atualmente a única opção viável para remover o mecanismo de persistência do agente de ameaça da ferramenta”, disse a Cisco. “Além disso, a Cisco recomenda fortemente limitar o acesso ao dispositivo e implementar mecanismos robustos de controle de acesso para garantir que as portas não sejam expostas a redes inseguras”.
Através registro
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
