CVE-2025-20393 ist ein Sicherheitsproblem mit höchstem Schweregrad im Zusammenhang mit Cisco AsyncOS-Implementierungen in Sicheres E-Mail-Gateway von Cisco (SEG) und Cisco Sicherer E-Mail- und Web-Manager (SEWM). Das Hauptrisiko ist nicht unauffällig: Angreifer können willkürliche Systembefehle mit Root-Rechten auf den betroffenen Geräten, und es ist erwiesen, dass es die bereits in freier Wildbahn ausgenutzt werden. (NVD)
Aus der Sicht eines Verteidigers ist dies der denkbar schlechteste Ort. SEG-/SEWM-Appliances sind in der Regel vertrauenswürdig, halb undurchsichtig und operativ "speziell" - sie werden oft langsamer gepatcht als herkömmliche Server, weniger umfassend überwacht und haben einen weiten Zugriff auf Mail-Flows und Verwaltungsnetzwerke. Wenn eine Edge-Appliance zu einem von einem Angreifer kontrollierten Host wird, handelt es sich nicht nur um einen weiteren Vorfall an einem Endpunkt, sondern um einen Dreh- und Angelpunkt.
Dieser Artikel konzentriert sich auf das, was für Hardcore-Sicherheitsingenieure wirklich wichtig ist: Expositionsbedingungen, Vorgehensweise nach der Kompromittierung, Ideen zur Erkennung von hohen Signalen und pragmatische Eindämmungsschritte, die Sie ausführen können, selbst wenn noch kein Patch verfügbar ist.
Um welche Art von Sicherheitslücke handelt es sich bei CVE-2025-20393?
Auf der Klassifizierungsebene verzeichnet NVD CVE-2025-20393 als CWE-20: Unsachgemäße Eingabevalidierung, mit einer CVSS v3.1 Basisvektor der auf einen Netzwerkangriff hindeutet, für den keine Berechtigungen erforderlich sind, der keine Benutzerinteraktion erfordert und der sich vollständig auf die Kompromittierung auswirkt. (NVD)
Mehrere Quellen fassen die Auswirkungen in der Praxis wie folgt zusammen entfernte, nicht authentifizierte Befehlsausführung mit Root-Rechten auf dem zugrunde liegenden Betriebssystem einer betroffenen Appliance. (Cisco Talos Blog)
Der NVD zeigt auch eine Aktualisierung der KAG KEV an: Erstelldatum: 2025-12-17; Fälligkeitsdatum: 2025-12-24sowie die erforderlichen Maßnahmen zur Anwendung von Abhilfemaßnahmen des Herstellers oder zur Beendigung der Nutzung, wenn keine Abhilfemaßnahmen verfügbar sind. (NVD)
Betroffene Produkte und die tatsächlichen Expositionsbedingungen
Die entscheidende Nuance: Während AsyncOS-Versionen auf breiter Basis betroffen sind, konzentriert sich die beobachtete Ausnutzung auf eine begrenzte Teilmenge von Geräten mit Nicht-Standard-Konfigurationen-speziell wo Spam-Quarantäne aktiviert und dem Internet ausgesetzt ist. (BleepingComputer)
Mehrere Berichte betonen, dass Die Spam-Quarantäne ist standardmäßig nicht aktiviertDas bedeutet, dass viele Umgebungen nur durch Konfigurationsentscheidungen, Drift oder aus Bequemlichkeit "vorübergehende" Exposition, die dauerhaft wurde, anfällig werden. (Hilfe zur Netzsicherheit)
Wenn Sie die Auswirkungen beurteilen, sollten Sie nicht raten. Ihre erste Aufgabe ist es, zwei Fragen mit Beweisen zu beantworten:
- Betreiben wir SEG oder SEWM (physisch oder virtuell)?
- Ist die Spam-Quarantäne oder die Webverwaltungsoberfläche von nicht vertrauenswürdigen Netzwerken aus erreichbar?
Lautet die Antwort auf beide Fragen "Ja", so ist dies bis zum Beweis des Gegenteils als Vorfall zu behandeln.
Warum dieses CVE operativ unangenehm ist: beobachtete Einbruchskette und Werkzeuge
Cisco Talos schreibt die Aktivität (mit mäßiges Vertrauen) an einen Bedrohungsakteur mit chinesischem Hintergrund, den sie als UAT-9686und stellt fest, dass die Kampagne seit mindestens einem Jahr läuft. Ende November 2025mit Cisco, das sich am Dezember 10, 2025. (Cisco Talos Blog)
Der für den Verteidiger relevante Teil ist das, was nach dem ersten Zugriff passiert. Talos beschreibt eine Toolchain, die für Persistenz, Tunneling und Anti-Forensik entwickelt wurde:
- AquaShellEine leichtgewichtige Python-Hintertür, die in eine bestehende Datei innerhalb eines Python-basierten Webservers eingebettet ist. Sie lauscht passiv auf unauthentifizierter HTTP POST Anfragen mit speziell gestalteten Daten, entschlüsselt den Inhalt und führt Befehle in der System-Shell aus. Talos gibt an, dass es sich bei
/data/web/euq_webui/htdocs/index.py. (Cisco Talos Blog) - AquaPurge: Entfernt Protokollzeilen, die bestimmte Schlüsselwörter enthalten, aus den angegebenen Protokolldateien, indem
egrepStilfilterung, um "saubere" Zeilen zu erhalten und sie zurückzuschreiben. (Cisco Talos Blog) - AquaTunnel: eine kompilierte Go-Binärdatei, die auf ReverseSSHverwendet, um eine umgekehrte SSH-Verbindung zur Infrastruktur des Angreifers herzustellen. (Cisco Talos Blog)
- MeißelEin Open-Source-Tunneling-Tool, das TCP/UDP-Tunnel über eine einzige HTTP-basierte Verbindung unterstützt und für Proxying und Pivoting über ein Edge-Gerät nützlich ist. (Cisco Talos Blog)
Dies ist wichtig, weil es Ihre Reaktionshaltung ändert. Wenn das Spielbuch des Akteurs Persistenzimplantate und Protokollmanipulationen enthält, sollten Sie von einer teilweisen Blindheit in lokalen Protokollen ausgehen und sich auf externe Telemetrie (Firewall-Protokolle, Proxy-Protokolle, NetFlow, DNS-Protokolle), um zu überprüfen, ob die Appliance mit der Infrastruktur des Angreifers kommuniziert.
Hochsignal-IOCs und was man mit ihnen tun kann
Talos veröffentlichte Beispiel-SHA-256-Hashes für Tools (AquaTunnel, AquaPurge, Chisel) und einen kleinen Satz von IP-Adressen, die mit der Kampagne in Verbindung stehen, und verweist auf ein GitHub-Repository für den vollständigen IOC-Satz. (Cisco Talos Blog)
Ein praktischer Ingenieur behandelt die IOCs als schnelle Triage-Beschleunigerkein endgültiger Beweis:
- Positiver Treffer bei Tool-Hash oder bekannter IP: sofortige Eskalation, Beweissicherung, Eröffnung eines Herstellerfalls und Planung der Wiederherstellung/Wiederherstellung.
- Negativer Treffer: Das bedeutet nicht, dass Sie entlastet werden; es bedeutet nur, dass Sie verhaltens- und integritätsbasierte Prüfungen benötigen (da die Akteure die Infrastruktur wechseln und AquaShell möglicherweise nicht bei allen Opfern identisch ist). (Cisco Talos Blog)
Nachfolgend finden Sie Beispiele für "sichere" Prüfungen, die Sie durchführen können, ohne einen Missbrauch auszulösen.
1) Prüfung der Dateiintegrität (Ausgangspunkt)
# Prüfen Sie Zeitstempel und Berechtigungen für die von Talos erwähnte Web-UI-Datei
stat /data/web/euq_webui/htdocs/index.py
# Verschlüsseln Sie die Datei und vergleichen Sie sie mit Ihrer bekannten guten Baseline (falls Sie eine haben)
sha256sum /data/web/euq_webui/htdocs/index.py
# Wenn Sie Backups/Konfigurations-Snapshots erstellen, vergleichen Sie die Versionen
diff -u /pfad/zu/bekannt-gut/index.py /data/web/euq_webui/htdocs/index.py || trueTalos nennt diesen Pfad ausdrücklich als den Ort, an dem AquaShell platziert ist. (Cisco Talos Blog)
2) Ausgehender IOC-Sweep in externen Protokollen (empfohlen)
# Beispiel: grep für bekannte IPs in exportierten Protokollen (Pfade durch Ihre Telemetrie ersetzen)
grep -RIn --binary-files=without-match \\
-E "172\\.233\\.67\\.176|172\\.237\\.29\\.147|38\\.54\\.56\\.95" \\
/var/log 2>/dev/null | head -n 200Die oben genannten IPs werden von Talos als mit der Kampagne verbunden veröffentlicht. (Cisco Talos Blog)
3) "Ungewöhnliche POST"-Jagd (best-effort, nicht überrüsten)
# Suche nach Web-POST-Aktivitäten, die das genannte Pfadmuster berühren (falls Protokolle vorhanden sind)
grep -RIn --binary-files=without-match \\
-E "POST|/euq_webui/|/htdocs/index\\.py" \\\
/var/log 2>/dev/null | head -n 200Das Verhalten von AquaShell beruht laut Talos auf nicht authentifizierten HTTP-POST-Anfragen, die verschlüsselte Befehlsinhalte übertragen. (Cisco Talos Blog)
Exposition und Priorität: eine feldtaugliche Entscheidungstabelle
| Situation | Wahrscheinlichkeit einer Kompromittierung | Priorität | Sofortige Maßnahmen |
|---|---|---|---|
| Spam-Quarantäne aktiviert und Internet erreichbar | Sehr hoch | P0 | Gefährdung jetzt beseitigen; Abhilfemaßnahmen des Anbieters beachten; Jagd auf IOCs |
| Web-Management-Schnittstelle über das Internet erreichbar | Hoch | P0 | Exposition jetzt entfernen; Beschränkung auf vertrauenswürdige Hosts/VPN; Protokollierung der Speicherung |
| Nicht internetfähig, aber über ein breites Partner-/Lieferantennetz erreichbar | Mittel | P1 | Reduzierung des ACL-Umfangs; Validierung der Segmentierung; Suche nach Anomalien |
| Vollständig intern, strenge Beschränkungen, strenge Verwaltungskontrollen | Unter | P2 | Überwachung der Aktualisierungsempfehlungen; Integrität der Basisdaten; Verschärfung der Kontrollen |
Diese Prioritätensetzung entspricht dem öffentlichen Konsens: Die Ausbeutung wird vor allem dort beobachtet, wo Spam-Quarantäne ist aktiviert und sichtbar und in Nicht-Standard-Konfigurationen. (BleepingComputer)
Abhilfemaßnahmen, wenn es noch keinen Patch gibt
Stand der Zusammenfassung von runZero (aktualisiert am 17. Dezember 2025), Es ist derzeit keine gepatchte Fixversion verfügbar.und der Hersteller empfiehlt die Deaktivierung von Spam-Quarantäne und die Isolierung anfälliger Systeme hinter Netzzugangskontrollen. (runZero)
In der Berichterstattung von BleepingComputer wird ebenfalls beschrieben, dass Cisco den Administratoren rät, den Zugriff zu beschränken (Internetzugang begrenzen, auf vertrauenswürdige Hosts beschränken, Appliances hinter Firewalls platzieren) sowie betriebliche Hygiene wie die Aufbewahrung von Protokollen, die Trennung von Mail-Handling und Verwaltungsfunktionen und die Verwendung starker Authentifizierungsmethoden. (BleepingComputer)
Das strategische Ziel ist einfach: die Angriffsfläche verkleinern schneller als der Angreifer sie scannen und ausnutzen kann.
Eine praktische Entschärfungssequenz, die Teams heute durchführen können:
- Beseitigung der Internetbelastung zur Spam-Quarantäne und allen Verwaltungsoberflächen.
- Beschränkung des Zugriffs der Verwaltung auf eine enge Erlaubnisliste (nur VPN + Bastion).
- Getrennte Rollen: Die Verwaltungsebene sollte nicht dieselbe Expositionsebene sein wie die Postbearbeitung. (BleepingComputer)
- Protokolle und externe Telemetrie aufbewahren bevor Sie irgendetwas drehen - Talos dokumentiert ein Werkzeug zum Bereinigen von Protokollen (AquaPurge), also gehen Sie davon aus, dass lokale Artefakte unvollständig sein können. (Cisco Talos Blog)
- Integritätsprüfungen durchführen auf dem von Talos erwähnten Web-UI-Pfad und suchen Sie nach dem Tunnel-Tooling. (Cisco Talos Blog)
- Wenn Sie Anzeichen für Kompromisse haben, einen Cisco TAC-Fall eröffnen (Cisco und Co. empfehlen diesen Weg für die Validierung und Reaktion auf Kompromisse). (BleepingComputer)
Umbau vs. "Reinigen an Ort und Stelle": Seien Sie ehrlich mit der Realität der Geräte
Sicherheitsingenieure hassen das Wort "Rebuild", weil es störend ist, aber Perimeter-Appliances sind einzigartig: Wenn Persistenz in Web-Komponenten eingebettet ist und die Integrität von Protokollen fragwürdig ist, kann man Tage mit "Säubern" verbringen und trotzdem eine Hintertür zurücklassen.
In der öffentlichen Berichterstattung wird auf den Standpunkt von Cisco verwiesen, dass in Fällen einer bestätigten Kompromittierung, der Wiederaufbau der Geräte ist derzeit die einzige praktikable Option um den Persistenzmechanismus zu beseitigen. (Hilfe zur Netzsicherheit)
Behandeln Sie "gemildert" und "getilgt" als unterschiedliche Zustände. Milderung schließt die Tür. Die Ausrottung beweist, dass der Angreifer nicht mehr drin ist.
Wo KI-gesteuerte Sicherheits-Workflows helfen können
Wenn Ihre Umgebung über mehrere SEG/SEWM-Instanzen in verschiedenen Regionen verfügt, ist der schwierigste Teil selten die Schadensbegrenzung selbst, sondern die Koordinierung und der Nachweis: welche Instanzen ausgesetzt sind, welche Konfigurationsknöpfe geändert wurden, welche Protokolle aufbewahrt wurden, ob ausgehende Verbindungen mit veröffentlichten IOCs übereinstimmen und wie die endgültige Sicherheitslage aussieht.
Hier kann eine KI-gesteuerte Plattform tatsächlich einen Mehrwert schaffen, ohne dabei Magie vorzutäuschen:
- Automatisierte Überprüfung der Exposition ("Ist die Spam-Quarantäne von nicht vertrauenswürdigen Netzwerken aus erreichbar?") nach einem Zeitplan
- Umwandlung veröffentlichter IOCs in wiederholbare Suchvorgänge über SIEM, Firewall-Protokolle und Endpunkt-Telemetrie
- Erstellung eines beweiskräftigen Vorfallsberichts, dem sowohl ein CISO als auch ein Ingenieur vertrauen können
Wenn Sie Penligent bereits für die Sicherheitsautomatisierung verwenden, ist die Anpassung hier einfach: Erstellen Sie ein wiederholbares Runbook, das die folgenden Punkte validiert Konfiguration + Erreichbarkeit + Telemetrieprüfungen und sendet ein strukturiertes Evidenzpaket für die IR. Das beste Ergebnis ist nicht die "Ausnutzung der KI", sondern weniger blinde Flecken und schnellere Entscheidungen mit höherer Zuverlässigkeit.
Referenzen
https://nvd.nist.gov/vuln/detail/CVE-2025-20393
https://www.cve.org/CVERecord?id=CVE-2025-20393
https://blog.talosintelligence.com/uat-9686
https://www.runzero.com/blog/cisco-secure-email-gateway
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://cwe.mitre.org/data/definitions/20.html
https://github.com/Fahrj/reverse-ssh
