Backdoors eingeschleust: Chinesische Hacker kapern seit Wochen Cisco-Systeme
Der Netzwerkausrüster Cisco warnt vor einer kritischen und bisher ungepatchten Sicherheitslücke in seinem Betriebssystem AsyncOS. Laut Security Advisory des Herstellers(öffnet im neuen Fenster) wird die Lücke bereits ausgenutzt und verschafft Angreifern einen Root-Zugriff auf anfällige Appliances. Zu Letzteren zählen je nach Konfiguration Cisco Secure Email Gateway sowie Cisco Secure Email and Web Manager. Administratoren sollten dringend handeln.
Bei der ausgenutzten Sicherheitslücke handelt es sich um CVE-2025-20393(öffnet im neuen Fenster) . Sie ist mit dem höchstmöglichen CVSS-Wert von 10,0 als kritisch eingestuft. Angreifer können bei erfolgreicher Ausnutzung aus der Ferne als Root eigene Befehle zur Ausführung bringen und AsyncOS-basierte Cisco-Appliances damit vollständig kompromittieren.
Anfällig sind die Appliances allerdings nur, wenn das standardmäßig inaktive Feature "Spam Quarantäne" aktiviert und über das Internet erreichbar gemacht wurde. Cisco empfiehlt Administratoren, dies in den Einstellungen zu überprüfen und gegebenenfalls weitere Maßnahmen zu ergreifen. Nähere Anweisungen dazu sind im Advisory(öffnet im neuen Fenster) zu finden.
Kein Patch verfügbar
Laut Cisco gibt es bisher keinen Patch, der vor der Ausnutzung von CVE-2025-20393 schützt. Der Hersteller nennt in seiner Meldung aber ein paar Schutzmaßnahmen. Dazu zählt unter anderem, betroffene Appliances möglichst nicht über das Internet erreichbar zu machen oder die Erreichbarkeit zumindest mit einer Firewall einzuschränken, so dass nur vertraute Hosts eine Verbindung herstellen können.
Zudem empfiehlt Cisco, den Datenverkehr laufend auf verdächtige Aktivitäten zu untersuchen. Ein paar Kompromittierungsindikatoren (IoCs) sind in einem Blogbeitrag der Sicherheitsforscher von Cisco Talos(öffnet im neuen Fenster) zu finden. Diese konnten die laufenden Attacken einer chinesischen Hackergruppe zuordnen, die sie als UAT-9686 bezeichnen.
Die Angriffe laufen nach Angaben der Forscher schon mindestens seit Ende November. Anfällige Systeme werden dabei unter anderem mit zwei Backdoors namens Aquashell und Aquatunnel sowie einem Aquapurge genannten Tool zum Bereinigen von Logdateien ausgestattet. Die Angreifer erlangen damit einen persistenten Zugriff und versuchen ihre Spuren zu verwischen.
Liegen bei einer Cisco-Appliance bereits Hinweise auf eine erfolgreiche Kompromittierung vor, so bleibt Administratoren aktuell nur eine vollständige Neueinrichtung. "Im Falle einer bestätigten Kompromittierung ist derzeit die Neuinstallation der Appliances die einzige praktikable Option, um den Persistenzmechanismus der Angreifer aus der Appliance zu entfernen" , schreibt Cisco diesbezüglich.