思科修复中国黑客组织利用的邮件网关零日漏洞

思科公司周四发布了安全更新，修复了影响思科安全邮件网关和思科安全邮件及Web管理器中AsyncOS软件的最高严重级别安全漏洞。此前近一个月，该公司披露这一漏洞已被代号为UAT-9686的中国关联高级持续性威胁组织作为零日漏洞利用。

该漏洞编号为CVE-2025-20393，CVSS评分为10.0分（满分），属于远程命令执行漏洞，源于垃圾邮件隔离功能对HTTP请求验证不足。成功利用该缺陷可允许攻击者在受影响设备的底层操作系统上以root权限执行任意命令。

然而，攻击要成功需要满足三个条件：设备运行存在漏洞的思科AsyncOS软件版本；设备配置了垃圾邮件隔离功能；垃圾邮件隔离功能暴露在互联网上且可从互联网访问。

上个月，这家网络设备巨头透露，他们发现UAT-9686早在2025年11月下旬就开始利用该漏洞，投放ReverseSSH（又名AquaTunnel）和Chisel等隧道工具，以及名为AquaPurge的日志清理工具。

这些攻击还部署了一个名为AquaShell的轻量级Python后门，能够接收编码命令并执行。

该漏洞现已在以下版本中得到修复，同时还移除了在此次攻击活动中发现并安装在设备上的持久化机制：

思科邮件安全网关

思科AsyncOS软件14.2及更早版本（已在15.0.5-016中修复）

思科AsyncOS软件15.0版本（已在15.0.5-016中修复）

思科AsyncOS软件15.5版本（已在15.5.4-012中修复）

思科AsyncOS软件16.0版本（已在16.0.4-016中修复）

安全邮件及Web管理器

思科AsyncOS软件15.0及更早版本（已在15.0.2-007中修复）

思科AsyncOS软件15.5版本（已在15.5.4-007中修复）

思科AsyncOS软件16.0版本（已在16.0.4-010中修复）

此外，思科还敦促客户遵循加固指南，防止来自不安全网络的访问，将设备置于防火墙后保护，监控Web日志流量以发现任何异常的进出设备流量，为主管理员门户禁用HTTP，禁用任何不需要的网络服务，对设备强制执行强身份验证（如SAML或LDAP），并将默认管理员密码更改为更安全的密码。

Q&A

Q1：CVE-2025-20393漏洞的严重程度如何？会造成什么影响？

A：CVE-2025-20393是一个最高严重级别的漏洞，CVSS评分为10.0分（满分）。这是一个远程命令执行漏洞，成功利用后攻击者可以在受影响设备的底层操作系统上以root权限执行任意命令，完全控制设备。

Q2：UAT-9686黑客组织是如何利用思科邮件网关漏洞的？

A：UAT-9686从2025年11月下旬开始利用该漏洞，投放了ReverseSSH和Chisel等隧道工具，以及AquaPurge日志清理工具。攻击者还部署了名为AquaShell的轻量级Python后门，能够接收编码命令并执行，从而实现对设备的持续控制。

Q3：如何防护思科邮件网关免受此类攻击？

A：思科建议客户立即更新到修复版本，将设备置于防火墙后，禁用不必要的网络服务和HTTP访问，使用SAML或LDAP等强身份验证方式，更改默认管理员密码，并持续监控Web日志流量以发现异常活动。最重要的是避免将垃圾邮件隔离功能直接暴露在互联网上。