Cisco sérülékenység kihasználása
Decemberben a Cisco figyelmeztetést adott ki egy súlyos, aktívan használt sebezhetőségről és támadásról, amely Cisco Secure Email Gateway és Cisco Secure Email and Web Manager eszközöket érint, amennyiben ezek a rendszerek olyan konfigurációban futnak, hogy a Spam Quarantine szolgáltatás internet felől elérhető. A gyenge pont – CVE-2025-20393 – távoli, hitelesítés nélkül kihasználható hibát takar, amely lehetővé teszi annak, hogy egy támadó parancsokat futtasson root jogosultsággal a készülék mögöttes operációs rendszerén. Ebben az állapotban a támadó lényegében teljes ellenőrzést szerezhet a kompromittált eszköz felett, beleértve a további malware-lehelyezést, belső hálózati továbblépést és érzékeny levelezési adatokhoz való hozzáférést is.
A sebezhetőség nem alapértelmezett konfigurációkban jelenik meg, hanem akkor, ha az érintett eszköz Spam Quarantine funkciója engedélyezve van és a hozzá tartozó portok közvetlenül elérhetők az internet felől. Ez ugyan nem jellemző mindenkire, de számos vállalati üzemeltetésben, ahol kényelmi vagy hibás tűzfalszabályok miatt ilyen interfészek nyitva maradhatnak, könnyen előfordulhat.
A Cisco biztonsági értesítés egy 10.0-ás CVSS-pontszámú (kritikus) elháríthatatlan hibára hívja fel a figyelmet, amelyet aktívan kihasználnak a wild környezetben, azaz valós támadásokban is megfigyelhető exploitokkal. A támadások legalább 2025 november végétől folyamatosan zajlanak, és független biztonsági elemzések szerint egy Kínához köthető APT csoportok használja ki ezt a hibát célzottan. A szereplő nemcsak egyszerű kódvégrehajtást hajt végre, hanem tartós hozzáférést hoz létre backdoorokkal, titkosított vezérlési csatornákkal és log-manipulációs eszközökkel, amelyek megnehezítik a detektálást és a helyreállítást.
A Cisco jelenleg folyamatosan vizsgálja az eseményeket és frissíti a biztonsági javaslatait, de kezdetben még nem áll rendelkezésre javítás vagy végleges patch erre a hibára. Emiatt a legjobb gyakorlat a exponált Spam Quarantine interfészek internetes elérésének megszüntetése, a hozzáférés korlátozása megbízható belső hálózatokra, valamint a Cisco támogatási csatornák bevonása annak megállapítására, hogy egy adott eszköz esetleg már kompromittálódott-e.
Egyes jelentések szerint az érintett kompromittált rendszereken a támadók egyedi backdoorokat és SSH-alapú csatornákat telepítenek, valamint olyan eszközöket használnak, amelyek törlik vagy módosítják a naplókat, így a tipikus élő helyszíni vizsgálatokat megnehezítik. Ennek fényében, ha kompromittálódás gyanúja merül fel, a teljes újratelepítés vagy rendszer-rebuild tekinthető a megbízható eltávolítási eljárásnak.
