В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, представляющая серьёзную угрозу для корпоративных систем безопасности электронной почты Cisco. Уязвимость с идентификатором BDU:2025-16120, также известная как CVE-2025-20393, затрагивает функцию Spam Quarantine («Карантин спама») в операционной системе AsyncOS. Эта уязвимость связана с недостаточной проверкой вводимых данных, что позволяет удалённому злоумышленнику выполнить произвольный код с максимальными привилегиями root на целевом устройстве. Специалисты уже подтвердили наличие работающего эксплойта.
Детали уязвимости
Уязвимость оказывает влияние на несколько ключевых продуктов Cisco для защиты почтового трафика. В список уязвимого программного обеспечения входят Cisco Secure Email and Web Manager, Cisco Secure Email Gateway, а также их виртуальные аппаратные обеспечения. Наиболее критично то, что затронуты все версии операционной системы AsyncOS вплоть до 16.0.3-044 включительно. Следовательно, тысячи корпоративных систем по всему миру могут быть подвержены атаке.
Оценка по методологии CVSS (Common Vulnerability Scoring System) демонстрирует исключительную опасность данной уязвимости. Базовая оценка CVSS 3.1 достигает максимального значения 10.0. Вектор атаки оценивается как Network, что означает возможность эксплуатации без физического доступа к системе. Более того, для атаки не требуются ни привилегии пользователя, ни его взаимодействие с интерфейсом. Успешная эксплуатация позволяет злоумышленнику получить полный контроль над устройством, что ведёт к компрометации конфиденциальности, целостности и доступности данных.
Технически проблема кроется в комбинации двух классов слабостей: недостаточной проверки вводимых данных и обхода пути. Атакующий может специально сформировать вредоносный запрос к функции карантина спама. В результате неправильной обработки этого запроса система может выполнить произвольный вредоносный код. Поскольку процесс функционирует с правами суперпользователя, злоумышленник получает неограниченный контроль над устройством. Это открывает путь для установки программ-вымогателей, создания скрытого доступа или кражи конфиденциальной корпоративной переписки.
Производитель, компания Cisco Systems, официально подтвердил существование уязвимости, выпустив соответствующий информационный бюллетень безопасности. При этом на текущий момент точные данные об устранении, включая наличие патча, уточняются. Однако Cisco предлагает ряд компенсирующих мер для снижения риска эксплуатации. Например, администраторам рекомендуется сегментировать сеть, используя разные порты для обработки почты и администрирования. Также эффективным шагом будет ограничение доступа к веб-интерфейсу управления по протоколу HTTP из внешних сетей.
Дополнительные меры включают настройку строгой аутентификации через протоколы SAML или LDAP. Для мониторинга и блокировки подозрительной активности стоит задействовать межсетевые экраны уровня веб-приложений и системы класса SIEM. Более того, организация всего удалённого доступа через виртуальные частные сети и жёсткое ограничение доступа к устройствам из интернета являются стандартными, но действенными практиками безопасности. Эти меры помогут существенно осложнить жизнь киберпреступникам.
Важно отметить, что уязвимость затрагивает именно систему управления и карантина, что делает её особенно привлекательной для целевых атак. Киберпреступные группировки, включая группы типа APT, могут использовать эту слабость для проникновения в корпоративную сеть. После получения прав root на почтовом шлюзе злоумышленники могут продолжить атаку, двигаясь вглубь инфраструктуры. Следовательно, риск связан не только с потерей контроля над самим шлюзом, но и с полной компрометацией сети организации.
В свете отсутствия окончательного патча, ответственность ложится на команды информационной безопасности. Им необходимо незамедлительно провести инвентаризацию активов и выявить все уязвимые системы. Затем следует применить все возможные компенсирующие меры, описанные в рекомендациях Cisco. Параллельно крайне важно усилить мониторинг сетевой активности на предмет любых аномальных обращений к интерфейсам управления почтовыми шлюзами. Раннее обнаружение попыток эксплуатации может предотвратить серьёзный инцидент.
Таким образом, уязвимость CVE-2025-20393 представляет собой классический пример высокой угрозы, возникающей из-за ошибок в базовых механизмах проверки входных данных. Её критичность подчёркивается максимальным баллом CVSS, наличием рабочего эксплойта и воздействием на продукты, являющиеся критически важными элементами периметра безопасности. Организациям, использующим затронутые версии Cisco Secure Email Gateway и Manager, следует отнестись к этой угрозе с высочайшим приоритетом. Оперативное выполнение рекомендаций по смягчению последствий и ожидание официального обновления от вендора являются необходимыми шагами для защиты бизнеса.
Ссылки
- https://bdu.fstec.ru/vul/2025-16120
- https://www.cve.org/CVERecord?id=CVE-2025-20393
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4
