کمیته رکن چهارم – شرکت سیسکو بهروزرسانی امنیتی فوری برای یک آسیبپذیری با شدت حداکثری در Cisco AsyncOS منتشر کرده که پیشتر بهصورت روز-صفر توسط یک گروه APT مورد سوءاستفاده قرار گرفته بود.
به گزارش کمیته رکن چهارم، شرکت Cisco بهروزرسانیهای امنیتی مهمی را برای رفع یک آسیبپذیری بسیار بحرانی با شناسه CVE-2025-20393 در نرمافزار Cisco AsyncOS منتشر کرده است. این نقص امنیتی محصولات Cisco Secure Email Gateway و Cisco Secure Email and Web Manager را تحت تأثیر قرار میدهد و به مهاجم امکان اجرای فرمان از راه دور با سطح دسترسی root را میدهد.
این آسیبپذیری با امتیاز CVSS معادل ۱۰٫۰، ناشی از اعتبارسنجی ناکافی درخواستهای HTTP در قابلیت Spam Quarantine است. در صورت بهرهبرداری موفق، مهاجم میتواند بدون نیاز به احراز هویت، کنترل کامل سیستمعامل دستگاه آسیبپذیر را در اختیار بگیرد.
سیسکو پیشتر تأیید کرده بود که این نقص بهعنوان یک آسیبپذیری روز-صفر از اواخر آبان ۱۴۰۴ توسط یک گروه مهاجم با منشأ چین، موسوم به UAT-9686، مورد سوءاستفاده فعال قرار گرفته است. در جریان این حملات، ابزارهای تونلسازی مانند ReverseSSH و Chisel برای دسترسی پایدار به شبکه قربانیان مورد استفاده قرار گرفته و همچنین ابزار پاکسازی لاگ AquaPurge و یک درِ پشتی سبک پایتونی با نام AquaShell روی دستگاهها مستقر شدهاند.
بررسیها نشان میدهد بهرهبرداری از این آسیبپذیری تنها در شرایطی ممکن است که دستگاه از نسخههای آسیبپذیر AsyncOS استفاده کند، قابلیت Spam Quarantine فعال باشد و این قابلیت بهصورت مستقیم در معرض اینترنت قرار گرفته باشد.
سیسکو اعلام کرده است که علاوه بر رفع نقص امنیتی، تمامی مکانیزمهای ماندگاری شناساییشده مرتبط با این کارزار مهاجمان نیز از سیستمهای بهروزرسانیشده حذف شدهاند. نسخههای اصلاحشده برای شاخههای مختلف AsyncOS در محصولات Email Security Gateway و Secure Email and Web Manager منتشر شده و به کاربران توصیه شده است در سریعترین زمان ممکن نسبت به ارتقا اقدام کنند.
این شرکت همچنین مجموعهای از اقدامات سختسازی امنیتی را پیشنهاد کرده است؛ از جمله محدودسازی دسترسی شبکهای، قرار دادن تجهیزات پشت فایروال، پایش دقیق لاگها، غیرفعالسازی سرویسهای غیرضروری، استفاده از احراز هویت قوی و تغییر گذرواژههای پیشفرض مدیریتی.
با توجه به سطح دسترسی بالا و سابقه بهرهبرداری فعال، آسیبپذیری CVE-2025-20393 یکی از خطرناکترین نقصهای اخیر در زیرساختهای ایمیلی سازمانی محسوب میشود. کارشناسان امنیتی تأکید دارند که هرگونه تأخیر در بهروزرسانی میتواند سازمانها را در معرض نفوذ کامل و از دست رفتن کنترل سامانههای حیاتی قرار دهد.
منبع: The Hacker News
