شرکت سیسکو از انتشار وصلهای امنیتی برای یک آسیبپذیری بسیار خطرناک در نرمافزار امنیتی ایمیل خود خبر داد؛ نقصی که ماه گذشته مشخص شد توسط یک گروه هکری وابسته به چین مورد سوءاستفاده قرار گرفته است.
این آسیبپذیری که با شناسه CVE-2025-20393 و امتیاز ۱۰ از ۱۰ در سیستم CVSS ثبت شده، در ماژول «قرنطینه اسپم» در نرمافزار Cisco AsyncOS دیده شده و به مهاجمان امکان اجرای دستورات دلخواه با سطح دسترسی root را روی سیستمعامل فراهم میسازد.
بررسیها نشان میدهد برای موفقیت حمله، سه شرط باید برقرار باشد: دستگاه از نسخه آسیبپذیر AsyncOS استفاده کند، قابلیت قرنطینه اسپم فعال باشد و این قابلیت به اینترنت دسترسی داشته باشد.
طبق اعلام سیسکو، گروه موسوم به UAT-9686 از اواخر نوامبر ۲۰۲۵ با بهرهگیری از این نقص امنیتی اقدام به نفوذ به سیستمها کرده و ابزارهایی چون ReverseSSH، Chisel و یک پاککننده لاگ موسوم به AquaPurge را در سامانههای قربانی مستقر کرده است.
همچنین یک در پشتی سبک به زبان پایتون با نام AquaShell نیز شناسایی شده که امکان دریافت فرمانهای رمزگذاریشده و اجرای آنها را فراهم میسازد.
گزارش این رخنه نخستین بار در ۱۷ دسامبر ۲۰۲۵ منتشر شد، اما سیسکو اعلام کرده بود که از تاریخ ۱۰ دسامبر از بهرهبرداری مهاجمان از این آسیبپذیری باخبر شده است.
به گفته تیم امنیتی Talos وابسته به سیسکو، این حملات با هدف حفظ دسترسی بلندمدت و کنترل مخفیانه بر تجهیزات آلوده انجام شده است. مهاجمان پس از نفوذ، مکانیزمهایی برای حفظ پایداری حضور خود در سیستم ایجاد کردهاند.
اگرچه سیسکو در ابتدا زمان مشخصی برای ارائه وصله اعلام نکرده بود، اما اکنون به کاربران اطلاع داده است که بهروزرسانی امنیتی لازم برای رفع این مشکل منتشر شده است. به کاربران توصیه شده است هر چه سریعتر نرمافزار دستگاههای آسیبپذیر را بهروزرسانی کنند.
توضیحات بیشتر:
Cisco Patches Zero-Day RCE Exploited by China-Linked APT in Secure Email Gateways