Hack Alerta

Cisco corrige zero‑day AsyncOS explorado desde novembro

Por Redação Hack Alerta Publicado em 16/01/2026 08:03 Riscos e Ameaças Tempo de leitura: 3 min

Cyber Security News relata que CVE‑2025‑20393, uma vulnerabilidade RCE em Cisco AsyncOS para Secure Email Gateway e Secure Email and Web Manager, foi explorada ativamente desde novembro de 2025. A falha tem CVSS 10.0; a Cisco liberou patches e recomenda atualização imediata. A exploração está atribuída a UAT‑9686 e envolve backdoors e ferramentas de persistência.

Introdução

Cisco confirmou exploração ativa de uma vulnerabilidade zero‑day de execução remota de código (RCE) em appliances Secure Email Gateway (SEG) e Secure Email and Web Manager baseados em AsyncOS, relata o Cyber Security News. A falha é rastreada como CVE‑2025‑20393 e recebeu pontuação CVSS 3.1 base 10.0.

O que mudou agora

O alerta central do relatório é que a falha permite execução remota de comandos com privilégios root através de requisições HTTP especialmente criadas dirigidas ao recurso Spam Quarantine do AsyncOS. A exploração foi confirmada e remonta a novembro de 2025, com tomada de conhecimento da Cisco em 10 de dezembro de 2025.

Atribuição e ferramentas observadas

Cisco Talos atribui a campanha ao ator rastreado como UAT‑9686 (também referido como UNC‑9686), com suspeita de vínculo à China, com base em sobreposição de ferramentas com grupos como APT41 e UNC5174, segundo a matéria. Os atacantes implantaram um backdoor em Python chamado AquaShell, além de utilitários de tunelamento reverso e ferramentas de limpeza de logs — apontamentos que indicam foco em espionagem.

Escopo e vetores

Dispositivos são afetados quando o recurso Spam Quarantine está habilitado e exposto à internet, tipicamente na porta 6025 — configuração que não é ativada por padrão e que as diretrizes de implantação desencorajam. A exploração é classificada como de baixa complexidade, acessível pela rede e de impacto total sobre confidencialidade, integridade e disponibilidade.

Mitigações e atualizações

Cisco publicou correções que removem mecanismos de persistência conhecidos e corrigem a validação insuficiente de requisições HTTP. Não há workarounds oficiais listados; a recomendação é aplicar os lançamentos de correção imediatamente. O Cyber Security News lista as primeiras versões corrigidas por ramo:

  • SEG: 15.0.5‑016 (corrige 14.2 e anteriores, 15.0), 15.5.4‑012 (15.5), 16.0.4‑016 (16.0)
  • Secure Email and Web Manager: 15.0.2‑007 (15.0 e anteriores), 15.5.4‑007 (15.5), 16.0.4‑010 (16.0)

Observações operacionais

Organizações que mantenham appliances AsyncOS devem verificar imediatamente se Spam Quarantine está exposto e, em caso afirmativo, aplicar os patches listados. A Cisco recomenda contatar o TAC para avaliações forenses e confirmações de comprometimento quando o acesso remoto de suporte estiver habilitado.

Riscos regulatórios

Embora o relatório não cite incidentes específicos em empresas brasileiras, a exploração ativa de um produto amplamente usado em correio corporativo configura risco direto para operações e compliance (incluindo obrigações de notificação em regimes como a LGPD) caso leads de investigação identifiquem vazamentos ou acessos não autorizados a dados pessoais.

Conclusão

A CVE‑2025‑20393 é uma falha crítica explorada ativamente com impacto sistêmico em appliances de e‑mail da Cisco. A confirmação de uso por um ator persistente, a pontuação CVSS máxima e a existência de patches tornam a atualização imediata e a verificação de comprometimento prioridades operacionais para administradores de segurança.

Baseado em publicação original de Cyber Security News
Tags: #cisco #asyncos #zero-day #rce #cve-2025-20393 #apt #email-gateway #aquaShell #patch
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar