- Cisco mengonfirmasi zero‑day (CVE‑2025‑20393) pada perangkat Email Aman yang dieksploitasi oleh pihak yang terkait dengan Tiongkok
- Penyerang menerapkan pintu belakang Aquashell, alat penerowongan, dan utilitas pembersihan log untuk mempertahankan persistensi
- CISA menambahkan kelemahan pada KEV; lembaga harus memulihkan/menghentikan penggunaan paling lambat tanggal 24 Desember
Aktor ancaman yang berafiliasi dengan Tiongkok telah menyalahgunakan kerentanan zero-day di beberapa peralatan email Cisco untuk mendapatkan akses ke sistem yang mendasarinya dan membangun persistensi.
Cisco mengonfirmasi berita tersebut dalam postingan blog dan penasehat keamanan, mendesak pengguna untuk menerapkan rekomendasi yang diberikan dan memperkuat jaringan mereka.
Dalam pengumumannya, Cisco mengatakan pihaknya pertama kali melihat aktivitas tersebut pada 10 Desember, dan menetapkan bahwa aktivitas tersebut dimulai setidaknya pada akhir November 2025. Dalam kampanye tersebut, pelaku ancaman yang dilacak sebagai UAT-9686 menyalahgunakan bug di Perangkat Lunak Cisco AsyncOS untuk Gerbang Email Aman Ciscodan Cisco Secure Email dan Web Manager, untuk menjalankan perintah tingkat sistem dan menerapkan persisten berbasis Python pintu belakang disebut Aquashell.
Dua kelompok
Kerentanan tersebut kini dilacak sebagai CVE-2025-20393 dan diberi skor tingkat keparahan 10/10 (kritis).
Kelompok ini juga terlihat menggunakan pahat AquaTunnel (terowongan SSH terbalik), (alat penerowongan lainnya), dan AquaPurge (utilitas pembersihan log).
Mengingat alat dan infrastruktur yang digunakan, Cisco yakin serangan tersebut dilakukan oleh setidaknya dua kelompok – yang dilacak sebagai APT41, dan UNC5174. Keduanya sangat aktif dan cukup berbahaya – menyalahgunakan layanan cloud yang sah, melanggar VPN, firewall, dan alat lainnya, serta terlibat terutama dalam spionase dunia maya.
Pada saat yang sama, Badan Keamanan Siber dan Infrastruktur AS (CISA) menambahkannya ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV), yang mengonfirmasi adanya penyalahgunaan di alam liar. Badan-badan Cabang Eksekutif Sipil Federal memiliki waktu hingga 24 Desember untuk menerapkan perbaikan yang diberikan atau berhenti menggunakan produk yang rentan sepenuhnya.
Dalam nasihatnya, Cisco mengatakan pelanggan harus memulihkan perangkat yang terpapar internet ke konfigurasi yang aman. Jika mereka dicegah untuk melakukan hal tersebut, mereka harus menghubungi Cisco untuk mengetahui apakah mereka telah disusupi atau tidak.
“Jika kompromi sudah terkonfirmasi, membangun kembali peralatan tersebut, saat ini, merupakan satu-satunya pilihan yang layak untuk menghilangkan mekanisme persistensi pelaku ancaman dari peralatan tersebut,” kata Cisco. “Selain itu, Cisco sangat menyarankan untuk membatasi akses ke peralatan dan menerapkan mekanisme kontrol akses yang kuat untuk memastikan bahwa port tidak terekspos ke jaringan yang tidak aman.”
Melalui Catatan
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
