Cabeçalho penumbroso

CVE-2025-20393: O dia zero do Cisco AsyncOS que transforma os dispositivos de segurança de e-mail em cabeças de ponte de nível raiz

O CVE-2025-20393 é um problema de segurança de gravidade máxima vinculado às implementações do Cisco AsyncOS em Cisco Secure Email Gateway (SEG) e Cisco Secure Email and Web Manager (SEWM). O risco principal não é sutil: os invasores podem executar comandos arbitrários do sistema com privilégios de root nos aparelhos afetados, e as evidências mostram que é já estão sendo explorados na natureza. (NVD)

Do ponto de vista de um defensor, isso ocorre no pior lugar possível. Os appliances SEG/SEWM tendem a ser confiáveis, semi-opacos e operacionalmente "especiais" - geralmente são corrigidos mais lentamente do que os servidores comuns, monitorados de forma menos abrangente e recebem amplo alcance nos fluxos de e-mail e nas redes de gerenciamento. Quando um appliance de borda se torna um host controlado por um invasor, não é apenas mais um incidente de endpoint; é um ponto de inflexão.

Este artigo se concentra no que realmente importa para os engenheiros de segurança mais dedicados: condições de exposição, técnicas de negociação pós-comprometimento, ideias de detecção de alto sinal e etapas pragmáticas de contenção que você pode executar mesmo quando um patch ainda não estiver disponível.

Que tipo de vulnerabilidade é a CVE-2025-20393?

No nível de classificação, o NVD registra o CVE-2025-20393 como CWE-20: Validação de entrada inadequada, com um Vetor de base CVSS v3.1 indicando ataque à rede, sem necessidade de privilégios, sem interação com o usuário e com impacto total no comprometimento. (NVD)

Em termos práticos, várias fontes resumem o impacto como: Execução remota e não autenticada de comandos com privilégios de root no sistema operacional subjacente de um appliance afetado. (Blog da Cisco Talos)

O NVD também mostra uma atualização do CISA KEV: Data de adição: 2025-12-17; Data de vencimento: 2025-12-24juntamente com as ações necessárias para aplicar as atenuações do fornecedor ou descontinuar o uso se as atenuações não estiverem disponíveis. (NVD)

Produtos afetados e as condições reais de exposição

A nuance que importa: embora as versões do AsyncOS estejam amplamente envolvidas, a exploração observada está concentrada em um subconjunto limitado de aparelhos com configurações não padronizadas-especificamente onde Quarentena de spam está ativado e exposto à Internet. (BleepingComputer)

Vários relatórios enfatizam que A quarentena de spam não está ativada por padrãoOs guias de configuração e implantação não exigem que a porta associada seja exposta à Internet, o que significa que muitos ambientes só se tornarão vulneráveis por meio de escolhas de configuração, desvios ou exposição "temporária" orientada pela conveniência que se tornou permanente. (Ajuda à segurança da rede)

Se estiver fazendo a triagem do impacto, não faça suposições. Sua primeira tarefa é responder a duas perguntas com evidências:

  1. Executamos o SEG ou o SEWM (físico ou virtual)?
  2. A Quarentena de spam ou a interface de gerenciamento da Web pode ser acessada por redes não confiáveis?

Se a resposta para ambas as perguntas for "sim", trate isso como um incidente até que se prove o contrário.

Por que esse CVE é operacionalmente desagradável: cadeia de intrusão e ferramentas observadas

A Cisco Talos atribui a atividade (com confiança moderada) para um agente de ameaças com vínculo com a China que eles rastreiam como UAT-9686e observa que a campanha está em andamento desde pelo menos final de novembro de 2025A Cisco está ciente de que 10 de dezembro de 2025. (Blog da Cisco Talos)

A parte relevante para o defensor é o que acontece após o acesso inicial. A Talos descreve uma cadeia de ferramentas criada para persistência, tunelamento e antiforense:

  • AquaShellPython: um backdoor Python leve incorporado a um arquivo existente em um servidor da Web baseado em Python. Ele escuta passivamente os HTTP POST não autenticado contendo dados especialmente criados, decodifica o conteúdo e executa comandos no shell do sistema. A Talos afirma que ele está localizado em /data/web/euq_webui/htdocs/index.py. (Blog da Cisco Talos)
  • AquaPurgeremove as linhas de registro que contêm palavras-chave específicas dos arquivos de registro especificados, usando egrepfiltragem de estilo para manter as linhas "limpas" e escrevê-las de volta. (Blog da Cisco Talos)
  • AquaTunnel: um binário Go compilado baseado em ReverterSSHusado para criar uma conexão SSH reversa com a infraestrutura do invasor. (Blog da Cisco Talos)
  • Cinzel("Tunneling"): ferramenta de túnel de código aberto que suporta túneis TCP/UDP em uma única conexão baseada em HTTP, útil para proxy e pivotamento por meio de um dispositivo de borda. (Blog da Cisco Talos)

Isso é importante porque altera sua postura de resposta. Quando o manual do ator inclui implantes de persistência e manipulação de logs, você deve assumir a cegueira parcial nos logs locais e planejar confiar em telemetria externa (logs de firewall, logs de proxy, NetFlow, logs de DNS) para validar se o appliance conversou com a infraestrutura do invasor.

CVE-2025-20393: O dia zero do Cisco AsyncOS que transforma os dispositivos de segurança de e-mail em cabeças de ponte de nível raiz

IOCs de alto sinal e o que fazer com eles

A Talos publicou exemplos de hashes SHA-256 para ferramentas (AquaTunnel, AquaPurge, Chisel) e um pequeno conjunto de endereços IP associados à campanha, e aponta para um repositório do GitHub para o conjunto completo de IOC. (Blog da Cisco Talos)

A abordagem de um engenheiro prático é tratar os IOCs como aceleradores de triagem rápidanão é uma prova definitiva:

  • Sucesso positivo no hash da ferramenta ou em um IP conhecido: encaminhe imediatamente, preserve as evidências, abra um caso de fornecedor e planeje a reconstrução/restauração.
  • Golpe negativo(...) não o inocenta; significa apenas que você precisa de verificações baseadas em comportamento e integridade (porque os atores alternam a infraestrutura e o AquaShell pode não ser idêntico em termos de hash entre as vítimas). (Blog da Cisco Talos)

Abaixo estão exemplos de verificações "seguras" que você pode executar sem acionar a exploração.

1) Verificações de integridade do arquivo (ponto de partida)

# Verifique o registro de data e hora e as permissões do arquivo da interface do usuário da web mencionado pelo Talos
stat /data/web/euq_webui/htdocs/index.py

# Faça o hash e compare com sua linha de base conhecida como boa (se você tiver uma)
sha256sum /data/web/euq_webui/htdocs/index.py

# Se você mantiver backups/configurações instantâneas, compare as versões
diff -u /path/to/known-good/index.py /data/web/euq_webui/htdocs/index.py || true

O Talos nomeia explicitamente esse caminho como o local onde o AquaShell é colocado. (Blog da Cisco Talos)

2) Varredura de IOC de saída em registros externos (recomendado)

# Exemplo: grep para IPs conhecidos em registros exportados (substitua os caminhos pela sua telemetria)
grep -RIn --binary-files=without-match \\
  -E "172\\.233\\.67\\.176|172\\.237\\.29\\.147|38\\.54\\.56\\.95" \\
  /var/log 2>/dev/null | head -n 200

Os IPs acima são publicados pela Talos como associados à campanha. (Blog da Cisco Talos)

3) Caça "POST incomum" (melhor esforço, não exagere no equipamento)

# Pesquise a atividade de POST da Web que toque o padrão de caminho mencionado (se houver registros)
grep -RIn --binary-files=without-match \\
  -E "POST|/euq_webui/|/htdocs/index\\.py" \\
  /var/log 2>/dev/null | head -n 200

O comportamento do AquaShell, de acordo com a Talos, depende de solicitações HTTP POST não autenticadas que transportam conteúdo de comando codificado. (Blog da Cisco Talos)

Exposição e prioridade: uma tabela de decisão pronta para o campo

SituaçãoProbabilidade de comprometimentoPrioridadeAção imediata
Quarentena de spam ativada e Internet acessívelMuito altoP0Remover a exposição agora; seguir as mitigações do fornecedor; caçar IOCs
Interface de gerenciamento da Web acessível pela InternetAltaP0Remover a exposição agora; restringir a hosts confiáveis/VPN; retenção de registros
Não exposto à Internet, mas acessível a partir de amplas redes de parceiros/fornecedoresMédioP1Reduzir o escopo da ACL; validar a segmentação; procurar anomalias
Totalmente interno, com restrições rigorosas e fortes controles administrativosInferiorP2Monitore as atualizações de consultoria; integridade da linha de base; reforce os controles

Essa priorização corresponde ao consenso público: a exploração está sendo observada principalmente onde A quarentena de spam está ativada e exposta e em configurações não padronizadas. (BleepingComputer)

Mitigações quando ainda não há um patch

A partir do resumo do runZero (atualizado em 17 de dezembro de 2025), No momento, não há nenhuma versão corrigida disponívele o fornecedor recomenda desativar Quarentena de spam e isolando sistemas vulneráveis atrás de controles de acesso à rede. (runZero)

A cobertura da BleepingComputer descreve de forma semelhante que a Cisco aconselha os administradores a restringir o acesso (limitar o acesso à Internet, restringir a hosts confiáveis, colocar os appliances atrás de firewalls), bem como a higiene operacional, como a retenção de registros, a separação das funções de gerenciamento e manuseio de e-mail e o uso de métodos de autenticação fortes. (BleepingComputer)

O objetivo estratégico é simples: Reduzir a superfície de ataque mais rápido do que o atacante pode escanear e explorar.

Uma sequência prática de atenuação que as equipes podem executar hoje:

  1. Remover a exposição na Internet para o Spam Quarantine e qualquer superfície de gerenciamento.
  2. Restringir o acesso ao gerenciamento para uma lista de permissões restrita (somente VPN + bastion).
  3. Funções separadas(...) o plano de gerenciamento não deve ser o mesmo plano de exposição do manuseio de correio. (BleepingComputer)
  4. Preserve os registros e a telemetria externa antes de girar qualquer coisa - o Talos documenta a ferramenta de purga de registros (AquaPurge), portanto, presuma que os artefatos locais podem estar incompletos. (Blog da Cisco Talos)
  5. Executar verificações de integridade no caminho da interface do usuário da Web mencionado pelo Talos e procure as ferramentas de túnel. (Blog da Cisco Talos)
  6. Se você tiver indicadores de comprometimento, abrir um caso no Cisco TAC (A Cisco e a cobertura recomendam esse caminho para validação e resposta de comprometimento). (BleepingComputer)
Download gratuito da ferramenta AI Pentest

Reconstrução vs. "limpar no lugar": seja honesto sobre a realidade dos aparelhos

Os engenheiros de segurança detestam a palavra "reconstrução" porque ela é perturbadora, mas os appliances de perímetro são únicos: quando a persistência é incorporada aos componentes da Web e a integridade do registro é suspeita, você pode passar dias "limpando" e ainda assim deixar uma porta dos fundos para trás.

Os relatórios públicos registram a posição da Cisco de que, em casos de comprometimento confirmado, a reconstrução dos aparelhos é atualmente a única opção viável para erradicar o mecanismo de persistência. (Ajuda à segurança da rede)

Trate "mitigado" e "erradicado" como estados diferentes. A mitigação fecha a porta. A erradicação prova que o invasor não está mais lá dentro.

Onde os fluxos de trabalho de segurança orientados por IA podem ajudar

Se o seu ambiente tiver várias instâncias de SEG/SEWM em várias regiões, a parte mais difícil raramente é a atenuação em si, mas sim a coordenação e a trilha de evidências: quais instâncias estão expostas, quais botões de configuração foram alterados, quais registros foram mantidos, se as conexões de saída corresponderam aos IOCs publicados e qual é a aparência da postura de segurança final.

É nesse ponto que uma plataforma orientada por IA pode realmente agregar valor sem fingir ser mágica:

  • Automatização da verificação de exposição ("a quarentena de spam é acessível a partir de redes não confiáveis?") em um cronograma
  • Conversão de IOCs publicados em buscas repetíveis em SIEM, logs de firewall e telemetria de endpoint
  • Geração de um relatório de incidente com base em evidências, no qual o CISO e o engenheiro podem confiar

Se você já estiver usando a Penligent para automação de segurança, o ajuste aqui é simples: crie um runbook repetível que valide verificações de configuração + acessibilidade + telemetria e emite um pacote de evidências estruturado para RI. O melhor resultado não é a "exploração de IA" - são menos pontos cegos e decisões mais rápidas e de maior confiança.

Referências

https://nvd.nist.gov/vuln/detail/CVE-2025-20393

https://www.cve.org/CVERecord?id=CVE-2025-20393

https://blog.talosintelligence.com/uat-9686

https://www.runzero.com/blog/cisco-secure-email-gateway

https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

https://cwe.mitre.org/data/definitions/20.html

https://github.com/Fahrj/reverse-ssh

https://github.com/jpillora/chisel

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4

Compartilhe a postagem:
Publicações relacionadas
Rodapé com penalidade
pt_BRPortuguese
en_USEnglish de_DEGerman fr_FRFrench es_ESSpanish jaJapanese ko_KRKorean hi_INHindi arArabic tr_TRTurkish he_ILHebrew pt_BRPortuguese