Neue aktiv ausgenutzte CVSS 10-Sicherheitslücke in Cisco AsyncOS Spam Quarantine Remote Access
Update
26. Januar 2026
Am 15. Januar 2025 hat Cisco Patches für CVE-2025-20393 CVSS 10 veröffentlicht. Cisco empfiehlt ein Upgrade auf eine gepatchte Version. Die Patches sollen die in der Kampagne beobachteten Persistenzmechanismen entfernen. Es gibt keine Workarounds; Patching ist für eine vollständige Schadensbegrenzung erforderlich. Gepatchte Versionen sind:
- • Cisco Secure Email Gateway (SEG) 15.0.5-016
- • Cisco Secure Email Gateway (SEG) 15.5.4-012
- • Cisco Secure Email Gateway (SEG) 16.0.4-016
- • Cisco Secure Email and Web Manager (SEWM) 15.0.2-007
- • Cisco Secure Email and Web Manager (SEWM) 15.5.4-007
- • Cisco Secure Email and Web Manager (SEWM) 16.0.4-010
Am Mittwoch, dem 17. Dezember, wurde eine neue Zero-Day-Sicherheitslücke mit maximaler Schwere in Cisco AsyncOS veröffentlicht. Cisco hat angegeben, dass die Schwachstelle mit der Kennung CVE-2025-20393 seit Ende November 2025 aktiv von chinesischen APT-Akteuren ausgenutzt wird und dass das Unternehmen bereits mindestens eine Woche vor der Veröffentlichung von dieser Aktivität Kenntnis hatte. Die Ausnutzung ist auf AsyncOS-Konfigurationen beschränkt, bei denen die Spam-Quarantäne aktiviert ist und die für den Fernzugriff freigegeben sind. Der Hersteller hat noch keinen Patch veröffentlicht.
Der OPENVAS ENTERPRISE FEED enthält nun Remote-Versionserkennungsprüfungen für CVE-2025-20393. Eine kostenlose Testversion von Greenbones OPENVAS BASIC steht Verteidigungsteams zur Verfügung, um ihre IT-Systeminfrastruktur auf neue Bedrohungen, einschließlich CVE-2025-20393, zu scannen.
CVE-2025-20393 (CVSS 10) ist eine kritische Schwachstelle in Cisco Secure Email Gateway (SEG) und Cisco Secure Email and Web Manager (SEWM) Appliances, wenn diese mit Cisco AsyncOS laufen und die Spam-Quarantäne-Funktion [1][2] sowohl aktiviert als auch über das Internet zugänglich ist. Die offizielle Empfehlung von Cisco und der Blogbeitrag von Talos beschreiben bekannte Exploit-Kampagnen, enthalten jedoch nur spärliche technische Details zur Sicherheitslücke selbst. CVE-2025-20393 wurde als Fehler aufgrund einer unsachgemäßen Eingabevalidierung [CWE-20] klassifiziert und ermöglicht Berichten zufolge die nicht authentifizierte Remote-Codeausführung (RCE) auf Root-Ebene.
Am 17. Dezember gab Cisco bekannt, dass es seit dem 10. Dezember von der Ausnutzung Kenntnis hatte und dass die Angriffe wahrscheinlich Ende November begonnen hatten. Hier ist anzumerken, dass mit Inkrafttreten der Meldepflichten des EU-Cyber Resilience Acts (CRA) im September 2026 bekannte Schwachstellen und Exploits innerhalb von 24 Stunden an die ENISA gemeldet werden müssen. Talos weist darauf hin, dass die Angriffe Teil einer Cyberspionagekampagne sind, die von der chinesischen APT-Gruppe UAT-9686 durchgeführt wird. Allerdings gibt es im Internet vor der Ausnutzung von CVE-2025-20393 keine Hinweise auf UAT-9686.
Die CISA hat CVE-2025-20393 umgehend in ihre Liste der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen. Das deutsche BSI und das kanadische Centre for Cyber Security haben Notfallwarnungen herausgegeben [3][4]. Es wurden keine Ransomware-Aktivitäten gemeldet, und ein PoC-Exploit-Code für CVE-2025-20393 ist noch nicht öffentlich verfügbar.
Die Spam-Quarantänefunktion dient dazu, Spam-Nachrichten zurückzuhalten, anstatt sie automatisch zu löschen. So können Admins und User verdächtige Spam-Nachrichten auf Fehlalarme überprüfen. Die Spam-Quarantänefunktion ist auf Cisco-Geräten zwar standardmäßig nicht aktiviert, die Einrichtungsanleitungen für SEG und SEWM enthalten allerdings klare Anweisungen zur Aktivierung und Konfiguration des Fernzugriffs [1][2]. Der Fernzugriff auf die Spam-Quarantänefunktion ermöglicht es Admins und Usern, quarantänisierte Nachrichten über eine Webschnittstelle zu überprüfen und zu verwalten, die in der Regel auf Port 82 für HTTP- und Port 83 für HTTPS-Zugriff aktiviert ist.
Von CVE-2025-20393 betroffene Cisco-Produkte
Laut Herstellerhinweis sind alle Versionen von Cisco AsyncOS von CVE-2025-20393 betroffen:
- Cisco Secure Email Gateway (SEG): Sowohl physische als auch virtuelle Appliances sind betroffen. Das SEG hieß zuvor Cisco Email Security Appliance (ESA) [1].
- Cisco Secure Email and Web Manager (SEWM): Sowohl physische als auch virtuelle Appliances sind betroffen. Das SEWM-Gerät hieß zuvor Content Security Management Appliance (SMA) [2].
CVE-2025-20393 kann nur ausgenutzt werden, wenn die IP-Schnittstelle für den Remote-Browserzugriff auf die Spam-Quarantänefunktion aktiviert ist.
Abwehr von Angriffen gegen CVE-2025-20393
Derzeit ist kein Patch für CVE-2025-20393 verfügbar. User, die die Spam-Quarantäne aktiviert haben, müssen entweder den Dienst deaktivieren oder eine Workaround-Abwehrmaßnahme implementieren, bis ein Patch veröffentlicht wird. Diese Ausgleichsmaßnahmen können Folgendes umfassen:
- Sicherstellen, dass die Webschnittstelle der Spam-Quarantäne nicht für das öffentliche Internet zugänglich ist.
- Den Zugriff mit strengen Firewall- und ACL-Regeln auf autorisierte IP-Adressen beschränken.
- Bei Verdacht auf eine Kompromittierung ist laut Cisco eine vollständige Neuinstallation des Geräts die einzige wirksame Methode, um die Persistenz zu beseitigen. Die Neuinstallation des betroffenen Geräts mittels eines bekanntermaßen fehlerfreien Images ist erforderlich, da Malware möglicherweise auch nach Konfigurationsänderungen weiterhin vorhanden ist. Wenn eine vollständige Wiederherstellung des Geräts nicht möglich ist, empfiehlt Cisco, sich an das TAC zu wenden.
Nach dem Eindringen in ein Gerät wurden bereits persistente Backdoors [TA0003] eingesetzt, verdeckter Fernzugriff [TA0011] eingerichtet und Techniken zur Umgehung der Erkennung [TA0005] angewendet. Laut Berichten von Cisco wird CVE-2025-20393 verwendet, um die Persistenz-Malware AquaShell, die Reverse-Tunneling-Tools AquaTunnel und Chisel sowie das Dienstprogramm AquaPurge zum Löschen von Protokollen einzusetzen. Diese Malware-Familien der Marke Aqua wurden jedoch vor dieser Kampagne von Sicherheitsforschern nicht öffentlich dokumentiert. Cisco hat Indikatoren für Kompromittierung (IoC) im Zusammenhang mit den beobachteten Angriffen veröffentlicht.
Zusammenfassung
Am Mittwoch, dem 17. Dezember, veröffentlichte Cisco eine Notfallmeldung zu CVE-2025-20393, einer Zero-Day-Sicherheitslücke mit maximaler Schwere, die aktiv ausgenutzt wird und Cisco Secure Email Gateway (SEG)- und Secure Email and Web Manager (SEWM)-Geräte betrifft, bei denen die Spam-Quarantäne aktiviert und exponiert ist. Die Schwachstelle ermöglicht eine nicht authentifizierte RCE auf Root-Ebene. Cisco Talos hat die beobachtete Ausnutzung auf Spionageaktivitäten mit Bezug zu China zurückgeführt.
Da kein Patch verfügbar ist, sind sofortige Ausgleichsmaßnahmen von entscheidender Bedeutung. Greenbones OPENVAS ENTERPRISE FEED hat innerhalb von 24 Stunden nach der öffentlichen Bekanntgabe eine Erkennung für CVE-2025-20393 bereitgestellt. Eine kostenlose Testversion von Greenbones OPENVAS BASIC steht Verteidigungsteams zur Verfügung, um ihre IT-Infrastruktur auf neue Bedrohungen, einschließlich CVE-2025-20393, zu scannen. Sobald betroffene Geräte identifiziert wurden, besteht die Schadensbegrenzung in erster Linie darin, entweder die Spam-Quarantänefunktion vollständig zu deaktivieren oder den Zugriff auf ihre Webschnittstelle zu beschränken, bis ein Patch verfügbar ist.
Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.
Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.
Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.
