Allarme Cisco: falla CVSS 10 consente RCE come root, attacchi in corso

Cisco ha confermato che una falla critica di sicurezza zero-day, che consente l’esecuzione remota di codice, è attualmente oggetto di sfruttamento attivo nei suoi dispositivi Secure Email Gateway e Secure Email and Web Manager. Questa vulnerabilità, catalogata come CVE-2025-20393, consente agli aggressori non autenticati di inviare richieste HTTP contraffatte alla funzione di quarantena dello spam, permettendo così l’esecuzione di comandi arbitrari con privilegi di root.

Una convalida insufficiente delle richieste HTTP nella funzionalità di quarantena dello spam del software Cisco AsyncOS dà origine alla vulnerabilità, permettendo l’esecuzione remota di comandi con diritti di amministratore sugli apparecchi colpiti. La vulnerabilità, classificata come CWE-20 (validazione impropria degli input), presenta un punteggio CVSSv3.1 di base massimo di 10,0, a causa della sua accessibilità via rete, della bassa complessità dell’attacco e dell’elevato impatto sulla riservatezza, integrità e disponibilità dei dati.

Cisco ha rilasciato patch per risolvere la vulnerabilità e rimuovere i meccanismi di persistenza noti; non esistono soluzioni alternative. Gli amministratori devono aggiornare immediatamente e confermare lo stato di Spam Quarantine tramite l’interfaccia web in Rete > Interfacce IP.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Cisco Talos attribuisce la campagna a UAT-9686 (anche UNC-9686), un attore di minacce persistenti avanzate con legami con la Cina, con una certa sicurezza basata su sovrapposizioni di strumenti con gruppi come APT41 e UNC5174.

Lo sfruttamento prende di mira i dispositivi in cui la quarantena dello spam è abilitata ed esposta a Internet, in genere sulla porta 6025, una configurazione non abilitata per impostazione predefinita e sconsigliata nelle guide di distribuzione. Cisco è venuta a conoscenza degli attacchi il 10 dicembre 2025, con prove di sfruttamento risalenti a novembre 2025.

Gli aggressori implementano una backdoor basata su Python chiamata AquaShell per l’accesso remoto persistente, insieme a strumenti di tunneling SSH inverso come AquaTunnel e Chisel per il pivoting interno e AquaPurge per la cancellazione dei log al fine di eludere il rilevamento. Gli obiettivi includono i settori delle telecomunicazioni e delle infrastrutture critiche, con il post-exploit incentrato sullo spionaggio piuttosto che sul ransomware.

Il 17 dicembre 2025, la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha incluso CVE-2025-20393 nel suo elenco delle vulnerabilità sfruttate note, prescrivendo alle agenzie federali di mitigarla entro il 24 dicembre 2025. A gennaio 2026, sebbene non fossero disponibili exploit pubblici proof-of-concept, sono state rilevate scansioni automatiche in aumento”.

I servizi Cisco Secure Email Cloud rimangono inalterati. Le organizzazioni sono invitate a monitorare i log esternamente e a contattare il TAC per una valutazione della compromissione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.