Компания Cisco подтвердила факт активной эксплуатации новой критической уязвимости в своём программном обеспечении для безопасности электронной почты. Уязвимость, получившая идентификатор CVE-2025-20393, затрагивает Cisco AsyncOS Software для продуктов Cisco Secure Email Gateway (шлюз безопасной электронной почты) и Cisco Secure Email and Web Manager (менеджер электронной почты и веба). По данным вендора, киберпреступники уже используют её в целевых атаках для выполнения произвольных команд с привилегиями суперпользователя (root) на базовой операционной системе уязвимого устройства.
Детали уязвимости
Главная опасность этой уязвимости заключается в возможности удалённого выполнения кода (RCE). Удалённый злоумышленник может воспользоваться ею для полного захвата контроля над целевой системой без необходимости аутентификации. Эксперты по безопасности оценивают уровень риска как высокий. Особенно тревожным является максимально возможный базовый балл 10.0 по шкале CVSS v3.1, что классифицирует уязвимость как критическую. Вектор атаки предполагает эксплуатацию через сеть (Network) с низким уровнем сложности атаки, без необходимости привилегий или взаимодействия с пользователем, при этом воздействие распространяется на другие компоненты системы.
Атака нацелена на ограниченное подмножество устройств, соответствующих двум ключевым условиям. Во-первых, на устройстве должна быть включена функция Spam Quarantine (карантин спама). Важно отметить, что по умолчанию эта функция отключена. Во-вторых, порт, используемый этой функцией, должен быть открыт и доступен напрямую из интернета. Стоит подчеркнуть, что руководства по развёртыванию этих продуктов не требуют и не рекомендуют выставлять данный порт в глобальную сеть.
Уязвимость имеет корневую причину, классифицированную как CWE-20: Improper Input Validation (некорректная проверка входных данных). Это означает, что система неправильно обрабатывает специально сформированные злоумышленником данные, что в итоге и позволяет выполнить произвольный код. Cisco информирует, что атаке подвержены все выпуски Cisco AsyncOS Software для указанных продуктов. Список затронутых версий обширен и включает как старые, так и самые последние сборки, например, 14.0.0-698, 15.5.3-022 и 16.0.1-017 для Secure Email Gateway.
Администраторам корпоративных сетей настоятельно рекомендуется предпринять срочные меры для снижения риска. Основной рекомендацией является проверка конфигурации всех развёрнутых устройств Cisco Secure Email Gateway и Cisco Secure Email and Web Manager.
Прежде всего, необходимо убедиться, что порт, используемый функцией Spam Quarantine, не доступен из интернета. Этого можно достичь с помощью правил межсетевого экрана, которые ограничивают доступ к данному порту только доверенным внутренним сетям или конкретным IP-адресам администраторов. Если функция карантина спама не используется в инфраструктуре, её следует полностью отключить, что полностью устраняет вектор атаки. Кроме того, целесообразно применять принцип минимальных привилегий для всех сетевых сервисов и регулярно проводить аудит правил безопасности.
Обнаружение этой активно эксплуатируемой уязвимости в ключевых продуктах для защиты периметра подчёркивает сохраняющуюся актуальность базовых принципов безопасности. Регулярный аудит конфигурации, своевременное обновление ПО и строгое следование рекомендациям по развёртыванию остаются критически важными практиками для противодействия современным угрозам. Ситуация с CVE-2025-20393 служит очередным напоминанием, что даже в решениях от ведущих вендоров могут обнаруживаться критические изъяны, которые быстро попадают в арсенал киберпреступников. Мониторинг официальных источников, таких как BDU (Банк данных угроз безопасности информации), и оперативное реагирование на подобные предупреждения являются неотъемлемой частью работы любой команды SOC (Security Operations Center, центр управления безопасностью).
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-20393
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4
