- Cisco menambal kelemahan kritis RCE (CVE-2025-20393) pada peralatan Email Aman
- Kelompok yang disponsori negara Tiongkok mengeksploitasinya selama berminggu-minggu menggunakan Aquashell dan alat terowongan
- Pembaruan menghapus mekanisme persistensi; sejauh mana kompromi global masih belum diketahui
Kerentanan dengan tingkat keparahan maksimum pada produk Cisco tertentu akhirnya diatasi setelah diduga dieksploitasi oleh peretas Tiongkok selama beberapa minggu.
Pada pertengahan Desember 2025, raksasa jaringan ini mengungkapkan kerentanan eksekusi kode jarak jauh (RCE) di AsyncOS yang memengaruhi Email Aman Peralatan Gateway (SEG) dan Secure Email and Web Manager (SEWM). Ini melacak kelemahan tersebut sebagai CVE-2025-20393 dan memberinya skor tingkat keparahan 10/10 (kritis).
“Serangan ini memungkinkan pelaku ancaman untuk menjalankan perintah sewenang-wenang dengan hak akses root yang mendasarinya sistem operasi dari peralatan yang terkena dampak,” kata Cisco pada saat itu. “Investigasi yang sedang berlangsung telah mengungkapkan bukti adanya mekanisme persistensi yang ditanamkan oleh pelaku ancaman untuk mempertahankan tingkat kendali atas peralatan yang disusupi.”
Cisco (akhirnya) memperbaikinya
Segera setelah pengungkapan awal, laporan tambahan munculmengklaim bahwa pelaku ancaman yang disponsori negara Tiongkok, yang dilacak sebagai UAT-9686, APT41, dan UNC5174, telah menyalahgunakan kerentanan ini “setidaknya sejak akhir November 2025”.
Setidaknya satu dari kelompok ini diduga menargetkan Cisco Secure Email Gateway, dan Cisco Secure Email serta Web Manager dengan sistem berbasis Python yang persisten. pintu belakang disebut Aquashell, serta pahat AquaTunnel (terowongan SSH terbalik) (alat penerowongan lainnya), dan AquaPurge (utilitas pembersihan log).
Cisco mengatakan pihaknya sedang melakukan perbaikan, menawarkan saran tentang cara memperkuat jaringan, namun tidak memberikan batas waktu kapan hal tersebut akan dipublikasikan. Sekarang, tambalan telah tersedia untuk semua.
“Pembaruan ini juga menghapus mekanisme persistensi yang mungkin dipasang selama kampanye serangan siber terkait,” kata juru bicara Cisco.
“Cisco sangat menyarankan agar pelanggan yang terkena dampak melakukan upgrade ke rilis perangkat lunak tetap yang sesuai, sebagaimana diuraikan dalam saran keamanan yang diperbarui. Pelanggan yang memerlukan dukungan harus menghubungi Cisco Technical Assistance Center.”
Meskipun ini merupakan kelemahan dengan tingkat keparahan maksimum, dan dapat dieksploitasi setidaknya selama lima minggu, kami tidak tahu berapa banyak kasus yang telah disusupi, atau berapa banyak organisasi di AS dan negara lain, yang menjadi mangsa peretas Tiongkok.
Melalui Daftar
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
