Allarme Cisco: falla CVSS 10 consente RCE come root, attacchi in corso

Cisco ha confermato che una falla critica di sicurezza zero-day, che consente l’esecuzione remota di codice, è attualmente oggetto di sfruttamento attivo nei suoi dispositivi Secure Email Gateway e Secure Email and Web Manager. Questa vulnerabilità, catalogata come CVE-2025-20393, consente agli aggressori non autenticati di inviare richieste HTTP contraffatte alla funzione di quarantena dello spam, permettendo così l’esecuzione di comandi arbitrari con privilegi di root.

Una convalida insufficiente delle richieste HTTP nella funzionalità di quarantena dello spam del software Cisco AsyncOS dà origine alla vulnerabilità, permettendo l’esecuzione remota di comandi con diritti di amministratore sugli apparecchi colpiti. La vulnerabilità, classificata come CWE-20 (validazione impropria degli input), presenta un punteggio CVSSv3.1 di base massimo di 10,0, a causa della sua accessibilità via rete, della bassa complessità dell’attacco e dell’elevato impatto sulla riservatezza, integrità e disponibilità dei dati.

Cisco ha rilasciato patch per risolvere la vulnerabilità e rimuovere i meccanismi di persistenza noti; non esistono soluzioni alternative. Gli amministratori devono aggiornare immediatamente e confermare lo stato di Spam Quarantine tramite l’interfaccia web in Rete > Interfacce IP.

Cisco Talos attribuisce la campagna a UAT-9686 (anche UNC-9686), un attore di minacce persistenti avanzate con legami con la Cina, con una certa sicurezza basata su sovrapposizioni di strumenti con gruppi come APT41 e UNC5174.

Lo sfruttamento prende di mira i dispositivi in cui la quarantena dello spam è abilitata ed esposta a Internet, in genere sulla porta 6025, una configurazione non abilitata per impostazione predefinita e sconsigliata nelle guide di distribuzione. Cisco è venuta a conoscenza degli attacchi il 10 dicembre 2025, con prove di sfruttamento risalenti a novembre 2025.

Gli aggressori implementano una backdoor basata su Python chiamata AquaShell per l’accesso remoto persistente, insieme a strumenti di tunneling SSH inverso come AquaTunnel e Chisel per il pivoting interno e AquaPurge per la cancellazione dei log al fine di eludere il rilevamento. Gli obiettivi includono i settori delle telecomunicazioni e delle infrastrutture critiche, con il post-exploit incentrato sullo spionaggio piuttosto che sul ransomware.

Il 17 dicembre 2025, la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha incluso CVE-2025-20393 nel suo elenco delle vulnerabilità sfruttate note, prescrivendo alle agenzie federali di mitigarla entro il 24 dicembre 2025. A gennaio 2026, sebbene non fossero disponibili exploit pubblici proof-of-concept, sono state rilevate scansioni automatiche in aumento”.

I servizi Cisco Secure Email Cloud rimangono inalterati. Le organizzazioni sono invitate a monitorare i log esternamente e a contattare il TAC per una valutazione della compromissione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.