Лучше поздно, чем никогда. На этой неделе компания Cisco устранила «критическую» уязвимость нулевого дня в своих шлюзах для обеспечения безопасности и управления электронной почтой, которая доставляла немало хлопот клиентам с декабря.
Уязвимость, отслеживаемая как CVE-2025-20393, затрагивает программное обеспечение AsyncOS от Cisco, работающее на физических или виртуальных продуктах Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM).
Проблема серьёзна: она позволяет злоумышленнику получить полный контроль над устройством с правами root, если функция Spam Quarantine (Карантин спама) активирована и доступна из интернета. За это уязвимость получила редкую максимальную оценку по шкале CVSS — 10, что соответствует «критическому» уровню опасности.
В своём релизе Cisco сообщила: «Эта уязвимость вызвана недостаточной проверкой HTTP-запросов функцией Spam Quarantine. Злоумышленник может использовать эту уязвимость, отправив специально сформированный HTTP-запрос на затронутое устройство».
К сожалению, об уязвимости, о которой Cisco узнала 10 декабря при обработке обращения в службу поддержки клиентов, стало известно, что она уже активно эксплуатировалась в реальных атаках. Это вынудило компанию выпустить предупреждение, но без патча, устраняющего уязвимость, — неделю спустя, 17 декабря.
Согласно анализу, опубликованному в тот же день подразделением по разведке угроз Talos от Cisco, эксплойты фиксировались как минимум с конца ноября. Это означает, что проблема существовала уже несколько недель к моменту, когда клиенты о ней узнали, при этом временных обходных решений не существовало.
«Talos с умеренной уверенностью предполагает, что эта активность осуществляется хакерской группой, связанной с Китаем, которую мы отслеживаем как UAT-9686. В рамках этой деятельности UAT-9686 развертывает пользовательский механизм сохранения доступа, который мы отслеживаем как “AquaShell”, вместе с дополнительными инструментами для обратного туннелирования и очистки журналов», — заявили в Cisco Talos.
На этой неделе, спустя более месяца после первого публичного предупреждения и семь недель после обнаружения первых эксплойтов, Cisco выпустила патч для AsyncOS, устраняющий уязвимость.
Имеет ли задержка значение?
Эксплойт затрагивает лишь часть клиентов, использующих Secure Email Gateway или Secure Email and Web Manager с функцией Spam Quarantine, открытой на публичном порту.
По данным Cisco, эта функция не включена по умолчанию, и, как утверждается, «руководства по развертыванию этих продуктов не требуют, чтобы эта функция была напрямую доступна из интернета». Это создаёт впечатление, что клиенты, активировавшие эту функцию, являются исключением.
Хотя это, вероятно, правда — открытие такого сервиса через публичный порт противоречит лучшим практикам безопасности — один из сценариев использования, упомянутый в Руководстве пользователя Cisco, предполагает предоставление удалённым пользователям возможности самостоятельно проверять спам, отправленный в карантин. Разумеется, невозможно точно определить, сколько организаций, использующих эти продукты, активировали эту возможность по данной причине.
Повторим: Cisco заявила, что уязвимы те клиенты, которые используют программное обеспечение Cisco AsyncOS с включённой функцией Spam Quarantine, открытой и доступной из интернета. Поскольку обходных решений нет, это подразумевает, что простого отключения доступа через публичный интерфейс (по умолчанию порт 6025, или 82/83 для веб-портала) недостаточно само по себе.
Однако, даже если бы это было так, это игнорирует вероятность того, что злоумышленники могли уже использовать уязвимость и закрепиться в системе в последние недели, до того, как порт был закрыт. Лучший вариант — всегда устанавливать патчи, чтобы полностью устранить риск.
Рекомендации по установке патчей
Клиентам Cisco Secure Email Gateway (ESG) на версиях v14.2 или более ранних следует обновиться до v15.0.5-016; пользователям v15.0 — до v15.0.5-016; v15.5 — до v15.5.4-012; и v16.0 — до v16.0.4-016.
Клиентам Secure Email and Web Manager (SEWM) на версиях v15.0 или более ранних следует обновить ПО до v15.0.2-007; клиентам на v15.5 — до v5.5.4-007; клиентам на v16.0 — до v16.0.4-010.
Cisco сообщила, что патч также удаляет любые механизмы сохранения доступа, оставшиеся после атаки, но добавила: «Клиенты, желающие убедиться, что их устройство было скомпрометировано, могут создать обращение в Центр технической поддержки Cisco (TAC)».
Эта статья изначально была опубликована на NetworkWorld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
