18.12.2025 18:00

Kritische Zero-Day-Lücke in Cisco Secure Email-Lösungen aktiv ausgenutzt

Cisco warnt in einer am 17. Dezember veröffentlichten Meldung vor einer kritischen, bislang ungepatchten Sicherheitslücke (CVE-2025-20393) in seinen auf AsyncOS basierenden E-Mail-Sicherheitslösungen. Die Schwachstelle ist mit einem maximalen CVSS-Score von 10.0 bewertet und erlaubt es entfernten Angreifer:innen, beliebige Befehle mit Root-Rechten auf den betroffenen Systemen auszuführen. Laut Cisco wird die Lücke bereits seit mindestens November 2025 aktiv ausgenutzt.

Betroffen sind alle Versionen der folgenden Produkte, sofern das Feature „Spam Quarantine“ aktiviert und aus dem Internet erreichbar ist:

• Cisco Secure Email Gateway
• Cisco Secure Email and Web Manager (ehemals SMA)

Die Standardkonfiguration ist in der Regel nicht verwundbar, da das betroffene Feature standardmäßig deaktiviert ist. Ob die „Spam Quarantine“-Funktion aktiviert ist, kann im Web Management Interface unter Network -> IP Interfaces (Gateway) bzw. Management Appliance -> Network -> IP Interfaces überprüft werden.

Ziel der Angriffe ist es, persistenten Zugriff auf die Zielsysteme zu erlangen. Dabei kommen verschiedene Schadprogramme zum Einsatz, darunter die Python-Backdoor AquaShell, das Tool AquaPurge zur Manipulation von Logs sowie Tunneling-Werkzeuge wie AquaTunnel und Chisel.

Cisco hat eine Liste von empfohlenen Maßnahmen in seinem Advisory veröffentlicht. Da die Untersuchung des Sachverhalts noch nicht abgeschlossen ist, wird empfohlen, dieses Advisory regelmäßig auf Aktualisierungen zu prüfen.