思科本周终于修复了一个"关键级"零日漏洞,该漏洞自12月以来一直威胁着该公司邮件安全和管理网关产品的客户安全。
漏洞详情与影响
编号为CVE-2025-20393的漏洞影响运行在物理或虚拟安全邮件网关(SEG)和安全邮件与Web管理器(SEWM)产品上的思科AsyncOS软件。
这是一个严重的安全问题,当垃圾邮件隔离功能开启并暴露在互联网上时,攻击者可以获得设备的root权限,完全控制设备。该漏洞获得了CVSS最高严重性评分10分,被评定为"关键级"。
思科在其公告中表示:"此漏洞是由于垃圾邮件隔离功能对HTTP请求验证不足造成的。攻击者可以通过向受影响设备发送精心制作的HTTP请求来利用此漏洞。"
攻击活动与威胁行为者
不幸的是,这个漏洞在思科于12月10日通过客户支持案例了解到时,就已经在野外被利用。这促使该公司在一周后的12月17日发布了安全公告,但当时没有提供修复补丁。
根据思科Talos威胁情报部门同日发布的分析,检测到的攻击活动最早可追溯到11月下旬,这意味着在客户听说此事时,该问题已经存在数周,且没有临时解决方案。
思科Talos表示:"我们中等信心地评估这项活动是由与中国有关的威胁行为者进行的,我们将其追踪为UAT-9686。作为此次活动的一部分,UAT-9686部署了我们追踪的名为'AquaShell'的自定义持久化机制,以及用于反向隧道和清除日志的其他工具。"
受影响范围
该漏洞只影响运行安全邮件网关或安全邮件与Web管理器且将垃圾邮件隔离服务暴露在公共端口上的部分客户。
据思科介绍,此功能默认未启用,且"这些产品的部署指南不要求将此功能直接暴露在互联网上"。这表明启用此功能的客户应该是少数。
虽然将此类服务通过公共端口暴露违反了最佳实践,但思科用户指南中提到的一个使用案例是允许远程用户自己检查被隔离的垃圾邮件。当然,出于这个原因启用该功能的组织数量无法确定。
修复建议与版本升级
思科安全邮件网关(ESG)客户:v14.2或更早版本应升级到v15.0.5-016;v15.0应升级到v15.0.5-016;v15.5应升级到v15.5.4-012;v16.0应升级到v16.0.4-016。
安全邮件与Web管理器(SEWM)客户:v15.0或更早版本应升级到v15.0.2-007;v15.5客户应升级到v15.5.4-007;v16.0客户应升级到v16.0.4-010。
思科表示,补丁还会清除攻击的任何持久化机制,但建议"希望明确验证设备是否受到攻击的客户可以开启思科技术支持中心(TAC)案例"。
Q&A
Q1:CVE-2025-20393漏洞的严重程度如何?
A:这是一个关键级漏洞,CVSS评分达到最高的10分。当垃圾邮件隔离功能开启并暴露在互联网上时,攻击者可以获得设备的root权限,完全控制设备。该漏洞影响思科AsyncOS软件运行的安全邮件网关和安全邮件与Web管理器产品。
Q2:思科为什么花了7周时间才发布补丁?
A:思科在12月10日通过客户支持案例了解到漏洞,一周后发布了安全公告但没有补丁。攻击活动最早可追溯到11月下旬,已被中国相关威胁行为者UAT-9686利用。由于没有临时解决方案,客户只能等待正式补丁发布。
Q3:哪些客户会受到这个漏洞影响?
A:只有运行思科AsyncOS软件且同时开启垃圾邮件隔离功能并将其暴露在互联网上的客户会受影响。该功能默认未启用,部署指南也不要求将其直接暴露在互联网上,所以受影响的应该是少数客户。
