Компания Cisco подтвердила факт продолжающейся кибератаки на свои устройства Cisco Secure Email Gateway и Cisco Secure Email and Web Manager. Злоумышленники используют критическую уязвимость для выполнения произвольных команд с привилегиями суперпользователя (root) на скомпрометированных системах. Об этом стало известно 10 декабря 2025 года после рассмотрения технического обращения в службу поддержки (TAC). Исследование выявило установленные злоумышленниками механизмы постоянного доступа (persistence), которые позволяют им сохранять несанкционированный контроль над атакованными устройствами.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-20393, затрагивает функцию Spam Quarantine («Карантин спама») в программном обеспечении Cisco AsyncOS. Ей присвоен максимально возможный базовый балл CVSS - 10.0, что свидетельствует о критическом уровне угрозы. Проблема коренится в недостаточной проверке HTTP-запросов (CWE-20 - Improper Input Validation). Следовательно, удаленный злоумышленник, не проходя аутентификацию, может отправить специально сформированный HTTP-запрос и выполнить на системе любую команду с правами суперпользователя.
Атака нацелена конкретно на устройства Cisco Secure Email Gateway и Cisco Secure Email and Web Manager, но для ее успеха необходимо одновременное соблюдение трех условий. Во-первых, на устройстве должна работать уязвимая версия ПО AsyncOS. Во-вторых, должна быть активирована функция Spam Quarantine. В-третьих, этот функционал должен быть напрямую доступен из интернета. Важно отметить, что по умолчанию функция «Карантин спама» отключена. Более того, руководства по развертыванию Cisco не рекомендуют выносить ее в интернет.
Компания уже выпустила исправленные версии программного обеспечения, закрывающие брешь. Пользователям затронутых продуктов настоятельно рекомендуется немедленно обновиться. Для Cisco Email Security Gateway следует установить версии 15.0.5-016, 15.5.4-012 или 16.0.4-016. Для Cisco Secure Email and Web Manager требуются версии 15.0.2-007, 15.5.4-007 или 16.0.4-010. Cisco подчеркивает, что доступных временных решений (workarounds) не существует, поэтому установка патчей для устройств, подверженных риску, обязательна. Установка обновлений не только устраняет саму уязвимость, но и удаляет выявленные механизмы сохранения доступа, оставленные злоумышленниками.
Эксперты по безопасности обращают внимание на серьезность данной атаки. Возможность выполнения произвольных команд с максимальными привилегиями предоставляет злоумышленникам почти полный контроль над устройством. Это позволяет им красть конфиденциальные данные, проходящие через почтовый шлюз, использовать устройство как плацдарм для атак на внутреннюю сеть организации или устанавливать вредоносное ПО (malware), включая программы-вымогатели (ransomware).
В свете произошедшего Cisco настоятельно рекомендует всем организациям предпринять срочные меры. Необходимо проверить статус функции Spam Quarantine через веб-интерфейс управления. Если она не используется, ее следует отключить. Если же функция необходима для работы, критически важно ограничить доступ к устройству. Лучшей практикой является размещение почтовых шлюзов за межсетевыми экранами и ограничение входящих подключений только доверенным хостам. Такие меры значительно снижают поверхность атаки и усложняют жизнь злоумышленникам.
Данный инцидент в очередной раз демонстрирует важность своевременного обновления программного обеспечения и следования рекомендациям производителя по безопасной конфигурации. Атаки на сетевое периферийное оборудование, такое как почтовые шлюзы, остаются излюбленной тактикой продвинутых групп угроз (APT). Поэтому организациям следует не только применять патчи, но и внимательно мониторить свои системы на предмет аномальной активности, используя возможности SOC (Security Operations Center) и систем обнаружения вторжений (IDS).
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-20393
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4
