Zero‑day no AsyncOS da Cisco é explorado com backdoor 'AquaShell'
Pesquisas e alertas oficiais apontam exploração ativa de uma vulnerabilidade zero‑day no AsyncOS que afeta appliances de segurança de e‑mail da Cisco. Organizações com Cisco Secure Email Gateway e Secure Email and Web Manager devem agir imediatamente, segundo os relatos.
O que se sabe
A Cisco está monitorando exploração ativa de uma falha identificada como CVE‑2025‑20393 no AsyncOS, sistema que equipa appliances como o Secure Email Gateway e o Secure Email and Web Manager. A exploração permite execução remota de comandos devido a validação de entrada insuficiente nas interfaces web do produto, segundo a reportagem.
Vetor e implantação do backdoor
Relatos descrevem o uso do backdoor apelidado de "AquaShell" — um componente escrito em Python embutido em elementos web do AsyncOS — que escuta requisições HTTP POST não autenticadas contendo payloads codificados. Quando acionado, o backdoor decodifica e executa comandos entregues via essas requisições, entregando um canal remoto persistente sobre o appliance comprometido.
Alcance e evidências
Fontes indicam que a exploração já ocorreu em ambientes reais; a publicação cita indicações de infecções em regiões da América do Norte e Europa. Não há, até o momento do relatório, uma correção oficial liberada para CVE‑2025‑20393 — a orientação da Cisco concentra‑se em medidas de hardening e mitigação.
Mitigações recomendadas pela Cisco
- Aplicar, imediatamente, as orientações de endurecimento (hardening) divulgadas pela Cisco para AsyncOS.
- Segmentar redes para isolar appliances de e‑mail e restringir acesso administrativo apenas a redes de gestão confiáveis.
- Reforçar controles de acesso e monitoramento em torno das interfaces web dos appliances, procurando comportamentos anômalos de HTTP POST.
- Empregar detecção baseada em indicadores de compromisso (IOCs) e ferramentas de monitoramento que identifiquem padrões compatíveis com execução de payloads via POST.
Limitações das informações
O artigo‑fonte não informa detalhes públicos sobre um patch formal disponível no momento da publicação, nem lista um conjunto completo e publicável de IOCs. Também faltam métricas precisas sobre número de dispositivos comprometidos e vetores iniciais de acesso que antecederam a implantação do AquaShell.
Implicações operacionais
Appliances de segurança de e‑mail são pontos críticos de defesa: comprometê‑los pode permitir interceptação, modificação ou encaminhamento de mensagens e credenciais, além de possibilitar pivot para redes internas. A combinação de um zero‑day sem correção e um backdoor que executa comandos via requisições não autenticadas eleva o risco a ambientes que dependem desses appliances para filtragem e proteção do tráfego de e‑mail.
O que equipes de segurança devem fazer agora
- Revisar as orientações oficiais da Cisco e aplicar mudanças de configuração sugeridas.
- Isolar appliances expostos, bloquear acesso administrativo público e restringir fluxos HTTP para origens conhecidas.
- Aumentar a telemetria e correlacionar logs HTTP/WEB para buscas por requisições POST anômalas e cargas codificadas.
- Preparar planos de resposta a incidentes que considerem remoção segura do appliance e análise forense, caso haja confirmação de comprometimento.
Fontes citadas: relatório técnico publicado pelo veículo de segurança que documentou a exploração e a própria notificação pública da Cisco sobre a atividade. Onde faltam dados públicos (patch oficial, lista exaustiva de IOCs), os times devem acompanhar atualizações do fabricante.