Cisco hat eine schwere Sicherheitslücke in Secure Email Gateways und Cisco Secure Email und Web Management Appliances entdeckt. Diese erlaubt es dem Angreifer einen beliebigen Code mit root Rechten auszuführen und permanenten Remotezugriff auf das System zu etablieren. Die Schwachstelle wird nach Cisco Kenntnis seit dem 10. Dezember aktiv ausgenutzt.
Vom Hersteller wurde die Schwachstelle mit der CVE-2025-20393 und dem Schweregrad von 10 veröffentlicht und kann unter der folgenden URL eingesehen werden: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4
Verwundbare Produkte
Betroffen sind Cisco Secure Email Gateways und Cisco Secure Email und Web Management Appliances, wenn folgende Bedingungen erfüllt sind:
- Aktivierte Spam Quarantäne
- Die Spam Quarantäne ist aus dem Internet erreichbar
Alle Versionen von Cisco Secure Email AsyncOS Software sind von dieser Angriffskampagne betroffen.
Nicht betroffene Produkte
- Cisco Secure Email Cloud Produkte sind von der Schwachstelle nicht betroffen
- Cisco sind keine Exploit-Aktivitäten gegen Cisco Secure Web bekannt
Maßnahmen:
- Die Zugriffe auf die Spam Quarantäne Ports aus dem Internet unterbinden
- Spam Quarantäne auf den betroffenen Systemen deaktivieren
- Verbindungen zu und von den betroffenen Systemen unter Beachtung von veröffentlichten IoCs prüfen und bei Verdacht auf Kompromittierung Cisco TAC kontaktieren
- Sofern die Spam Quarantäne aus dem Internet erreichbar war, kann auch ohne Anfangsverdacht Cisco TAC mit der Überprüfung auf Kompromittierung beauftragt werden
Hinweise:
- IoCs und die Details zu dem Angriff können unter der folgenden URL eingesehen werden: https://blog.talosintelligence.com/uat-9686/
- Bei Deaktivierung der Spam Quarantäne ist keine Einsicht und keine Weiterleitung der E-Mails aus der Spam Quarantäne mehr möglich