Cisco akhirnya menambal zero-day Cisco AsyncOS dengan tingkat keparahan maksimum yang dieksploitasi dalam serangan terhadap peralatan Secure Email Gateway (SEG) dan Secure Email and Web Manager (SEWM) sejak November 2025.
Seperti yang dijelaskan Cisco pada bulan Desember, ketika mereka mengungkapkan kerentanannya (CVE-2025-20393), ini hanya memengaruhi peralatan Cisco SEG dan Cisco SEWM dengan konfigurasi non-standar ketika fitur Karantina Spam diaktifkan dan diekspos di Internet.
“Cisco Secure Email Gateway, Secure Email, Perangkat Lunak AsyncOS, dan peralatan Web Manager mengandung kerentanan validasi input yang tidak tepat yang memungkinkan pelaku ancaman untuk mengeksekusi perintah sewenang-wenang dengan hak akses root pada sistem operasi yang mendasari peralatan yang terpengaruh,” kata Cisco.
Petunjuk terperinci untuk meningkatkan peralatan yang rentan ke versi perangkat lunak tetap tersedia di nasihat keamanan ini.
Cisco Talos, tim peneliti intelijen ancaman perusahaan, percaya bahwa kelompok peretas Tiongkok yang dilacak sebagai UAT-9686 kemungkinan berada di balik serangan yang memanfaatkan kelemahan tersebut untuk menjalankan perintah sewenang-wenang dengan hak akses root.
Saat menyelidiki serangan tersebut, Cisco Talos mengamati pelaku ancaman yang menyebarkan pintu belakang persisten AquaShell, implan malware terowongan SSH terbalik AquaTunnel dan Chisel, dan alat pembersih log AquaPurge untuk menghapus jejak aktivitas berbahaya mereka.
AquaTunnel dan alat jahat lainnya yang digunakan dalam kampanye ini juga pernah dikaitkan dengan kelompok ancaman lain yang didukung negara Tiongkok, seperti APT41 Dan UNC5174.
“Kami menilai dengan keyakinan sedang bahwa musuh, yang kami lacak sebagai UAT-9686, adalah aktor ancaman persisten tingkat lanjut (APT) yang merupakan nexus Tiongkok yang penggunaan alat dan infrastrukturnya konsisten dengan kelompok ancaman Tiongkok lainnya,” kata Cisco Talos.
“Sebagai bagian dari aktivitas ini, UAT-9686 menerapkan mekanisme persistensi khusus yang kami lacak sebagai AquaShell disertai dengan peralatan tambahan yang dimaksudkan untuk penerowongan balik dan pembersihan log.”
CISA juga punya menambahkan CVE-2025-20393 untuk itu katalog kerentanan yang diketahui dan dieksploitasi pada tanggal 17 Desember, memerintahkan lembaga-lembaga federal untuk mengamankan sistem mereka menggunakan panduan Cisco dalam waktu seminggu, paling lambat tanggal 24 Desember, sebagaimana diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01.
“Harap patuhi pedoman Cisco untuk menilai paparan dan memitigasi risiko. Periksa tanda-tanda potensi kompromi pada semua produk Cisco yang dapat diakses internet yang terkena dampak kerentanan ini. Terapkan setiap mitigasi akhir yang disediakan oleh vendor segera setelah tersedia,” kata CISA.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal.”
7 Praktik Terbaik Keamanan untuk MCP
Karena MCP (Model Context Protocol) menjadi standar untuk menghubungkan LLM ke alat dan data, tim keamanan bergerak cepat untuk menjaga keamanan layanan baru ini.
Lembar contekan gratis ini menguraikan 7 praktik terbaik yang dapat Anda mulai gunakan hari ini.
