BMAD x Superpowers 深度融合
2026/1/16 20:16:48
思科公司周四发布了安全更新,修复了影响思科安全邮件网关和思科安全邮件及Web管理器中AsyncOS软件的最高严重级别安全漏洞。此前近一个月,该公司披露这一漏洞已被代号为UAT-9686的中国关联高级持续性威胁组织作为零日漏洞利用。
该漏洞编号为CVE-2025-20393,CVSS评分为10.0分(满分),属于远程命令执行漏洞,源于垃圾邮件隔离功能对HTTP请求验证不足。成功利用该缺陷可允许攻击者在受影响设备的底层操作系统上以root权限执行任意命令。
然而,攻击要成功需要满足三个条件:设备运行存在漏洞的思科AsyncOS软件版本;设备配置了垃圾邮件隔离功能;垃圾邮件隔离功能暴露在互联网上且可从互联网访问。
上个月,这家网络设备巨头透露,他们发现UAT-9686早在2025年11月下旬就开始利用该漏洞,投放ReverseSSH(又名AquaTunnel)和Chisel等隧道工具,以及名为AquaPurge的日志清理工具。
这些攻击还部署了一个名为AquaShell的轻量级Python后门,能够接收编码命令并执行。
该漏洞现已在以下版本中得到修复,同时还移除了在此次攻击活动中发现并安装在设备上的持久化机制:
思科邮件安全网关
思科AsyncOS软件14.2及更早版本(已在15.0.5-016中修复)
思科AsyncOS软件15.0版本(已在15.0.5-016中修复)
思科AsyncOS软件15.5版本(已在15.5.4-012中修复)
思科AsyncOS软件16.0版本(已在16.0.4-016中修复)
安全邮件及Web管理器
思科AsyncOS软件15.0及更早版本(已在15.0.2-007中修复)
思科AsyncOS软件15.5版本(已在15.5.4-007中修复)
思科AsyncOS软件16.0版本(已在16.0.4-010中修复)
此外,思科还敦促客户遵循加固指南,防止来自不安全网络的访问,将设备置于防火墙后保护,监控Web日志流量以发现任何异常的进出设备流量,为主管理员门户禁用HTTP,禁用任何不需要的网络服务,对设备强制执行强身份验证(如SAML或LDAP),并将默认管理员密码更改为更安全的密码。
Q&A
Q1:CVE-2025-20393漏洞的严重程度如何?会造成什么影响?
A:CVE-2025-20393是一个最高严重级别的漏洞,CVSS评分为10.0分(满分)。这是一个远程命令执行漏洞,成功利用后攻击者可以在受影响设备的底层操作系统上以root权限执行任意命令,完全控制设备。
Q2:UAT-9686黑客组织是如何利用思科邮件网关漏洞的?
A:UAT-9686从2025年11月下旬开始利用该漏洞,投放了ReverseSSH和Chisel等隧道工具,以及AquaPurge日志清理工具。攻击者还部署了名为AquaShell的轻量级Python后门,能够接收编码命令并执行,从而实现对设备的持续控制。
Q3:如何防护思科邮件网关免受此类攻击?
A:思科建议客户立即更新到修复版本,将设备置于防火墙后,禁用不必要的网络服务和HTTP访问,使用SAML或LDAP等强身份验证方式,更改默认管理员密码,并持续监控Web日志流量以发现异常活动。最重要的是避免将垃圾邮件隔离功能直接暴露在互联网上。