Loading... # Cisco 修复零日 RCE 漏洞:中国相关 APT 组织针对安全邮件网关的攻击分析 # 一、新闻概述 ## 1. 标题 Cisco 修复零日 RCE 漏洞:中国相关 APT 组织针对安全邮件网关的攻击分析 ## 2. 发布时间 2026 年 1 月 16 日 ## 3. 来源 The Hacker News # 二、核心内容 ## 1. 事件摘要 ### A. 主要内容 Cisco 在周四发布安全更新,修复了一个影响 Cisco Secure Email Gateway 和 Cisco Secure Email and Web Manager 的 Cisco AsyncOS Software 的最高严重级别安全漏洞。 ### B. 核心亮点 - 漏洞编号 CVE-2025-20393,CVSS 评分满分 10.0 - 中国相关 APT 组织(代号 UAT-9686)已在零日攻击中利用该漏洞 - 攻击者可获得受影响设备底层操作系统的 root 权限 - Cisco 已在多个版本中发布修复补丁 ## 2. 关键信息 ### A. 漏洞编号 CVE-2025-20393 ### B. 严重程度 CVSS 评分 10.0(最高严重级别) ### C. 涉及产品 - Cisco Secure Email Gateway(邮件安全网关) - Cisco Secure Email and Web Manager(安全邮件和 Web 管理器) - Cisco AsyncOS Software ### D. 攻击者 中国相关 APT 组织,代号 UAT-9686 ## 3. 背景介绍 ### A. 漏洞发现时间 2025 年 11 月底,Cisco 发现该漏洞被主动利用 ### B. 相关上下文 这是 Cisco 在近一个月后正式发布的安全补丁,此前已披露该零日漏洞的存在 # 二、核心内容 ## 1. 事件摘要 ### A. 主要内容 Cisco 发布安全更新,修复影响 Cisco AsyncOS Software 的远程命令执行漏洞,该漏洞已被中国相关 APT 组织在零日攻击中利用。 ### B. 核心亮点 - CVE-2025-20393,CVSS 评分 10.0(最高严重级别) - 远程命令执行漏洞,可获得 root 权限 - Spam Quarantine 功能的 HTTP 请求验证不足导致漏洞 - UAT-9686 组织自 2025 年 11 月底开始利用 ## 2. 关键信息 ### A. 漏洞详情 编号:CVE-2025-20393 评分:CVSS 10.0 类型:远程命令执行(RCE) 原因:Spam Quarantine 功能对 HTTP 请求验证不足 ### B. 影响版本 Cisco AsyncOS Software Release 14.2 及更早版本 Cisco AsyncOS Software Release 15.0 Cisco AsyncOS Software Release 15.5 Cisco AsyncOS Software Release 16.0 ### C. 攻击时间线 最早利用时间:2025 年 11 月底 披露时间:2025 年 12 月 补丁发布:2026 年 1 月 ## 3. 背景介绍 ### A. 攻击组织 UAT-9686,与中国相关的 APT 组织 ### B. 攻击工具链 ReverseSSH(AquaTunnel):隧道工具 Chisel:隧道工具 AquaPurge:日志清理工具 AquaShell:轻量级 Python 后门 # 三、详细报道 ## 1. 漏洞技术细节 ### A. 漏洞描述 CVE-2025-20393 是一个远程命令执行漏洞,源于 Spam Quarantine 功能对 HTTP 请求的验证不足。成功利用该漏洞,攻击者可以在受影响设备的底层操作系统上以 root 权限执行任意命令。 ### B. 利用条件 攻击要成功,必须满足三个条件: 1. 设备运行存在漏洞的 Cisco AsyncOS Software 版本 2. 设备配置了 Spam Quarantine 功能 3. Spam Quarantine 功能暴露在互联网上且可访问 ### C. 攻击流程 ```mermaid graph TD A[攻击者扫描] --> B{发现暴露的<br/>Spam Quarantine} B -->|是| C[发送恶意 HTTP 请求] B -->|否| D[无法利用] C --> E{验证绕过成功?} E -->|是| F[执行任意命令<br/>root 权限] E -->|否| D F --> G[部署后门工具] G --> H[建立持久化] H --> I[清理日志] ```  ### D. 攻击者工具链 攻击者使用了一系列工具来维持访问和隐藏踪迹: - ReverseSSH(AquaTunnel):SSH 反向隧道工具,用于建立隐蔽的通信通道 - Chisel:另一种隧道工具,提供更灵活的隧道功能 - AquaPurge:日志清理工具,用于删除攻击痕迹 - AquaShell:轻量级 Python 后门,可接收编码命令并执行 ## 2. 修复版本信息 ### A. Cisco Email Security Gateway 修复版本 - Cisco AsyncOS Software Release 14.2 及更早版本:修复于 15.0.5-016 - Cisco AsyncOS Software Release 15.0:修复于 15.0.5-016 - Cisco AsyncOS Software Release 15.5:修复于 15.5.4-012 - Cisco AsyncOS Software Release 16.0:修复于 16.0.4-016 ### B. Secure Email and Web Manager 修复版本 - Cisco AsyncOS Software Release 15.0 及更早版本:修复于 15.0.2-007 - Cisco AsyncOS Software Release 15.5:修复于 15.5.4-007 - Cisco AsyncOS Software Release 16.0:修复于 16.0.4-010 ### C. 附加修复措施 除了修复漏洞本身,Cisco 还移除了在此次攻击活动中发现的持久化机制。 ## 3. 安全加固建议 ### A. 网络隔离 - 防止来自非安全网络的访问 - 将设备置于防火墙之后 ### B. 监控与检测 - 监控 Web 日志流量,查找异常的设备出入站流量 ### C. 配置加固 - 禁用主管理员门户的 HTTP - 禁用不需要的网络服务 - 实施强化的最终用户身份验证(如 SAML 或 LDAP) - 更改默认管理员密码为更安全的密码 # 四、影响分析 ## 1. 行业影响 ### A. 威胁态势 - APT 组织持续针对企业安全网关设备 - 零日漏洞利用时间窗口缩短,从发现到披露再到修复的时间压缩 - 网络边界设备成为高价值攻击目标 ### B. 防御挑战 - 边界设备通常暴露在互联网上 - 传统防护措施难以检测经过加密的隧道流量 - 攻击者使用合法工具(如 SSH 隧道)难以被识别 ## 2. 用户影响 ### A. 风险评估 使用受影响版本且 Spam Quarantine 功能暴露在互联网上的用户面临最高风险。 ### B. 紧急程度 CVSS 评分 10.0 表明这是一个极其严重的漏洞,需要立即采取行动。 ### C. 修复建议 1. 立即应用 Cisco 提供的安全补丁 2. 检查系统是否存在被入侵的迹象 3. 实施加固措施以防止未来攻击 ## 3. 技术趋势 ### A. 攻击趋势 - APT 组织使用更复杂的工具链维持持久化访问 - 日志清理工具的使用显示攻击者的规避意识增强 - 多种隧道工具的使用提高攻击的隐蔽性 ### B. 防御趋势 - 厂商响应速度加快,从披露到补丁发布的周期缩短 - 补丁不仅修复漏洞,还移除已知的持久化机制 # 五、攻击组织分析 ## 1. UAT-9686 组织概况 ### A. 归属 与中国相关的 APT 组织 ### B. 攻击目标 企业级安全网关设备 ### C. 能力特征 - 具备零日漏洞利用能力 - 使用自定义工具链(AquaTunnel、AquaPurge、AquaShell) - 注重攻击隐蔽性和持久化 ## 2. 攻击工具链分析 ```mermaid graph LR A[初始入侵<br/>CVE-2025-20393] --> B[建立访问<br/>ReverseSSH] B --> C[持久化<br/>AquaShell 后门] C --> D[横向移动<br/>Chisel 隧道] D --> E[痕迹清理<br/>AquaPurge] ```  ### A. ReverseSSH(AquaTunnel) SSH 反向隧道工具,允许攻击者通过目标设备建立的连接回连到攻击者控制的服务器,绕过防火墙限制。 ### B. Chisel 基于 HTTP 的快速隧道工具,使用 SSH 加密提供安全隧道,常用于穿透 restrictive 网络。 ### C. AquaPurge 专门的日志清理工具,用于删除攻击痕迹,使检测更加困难。 ### D. AquaShell 轻量级 Python 后门,可接收编码命令并执行,为攻击者提供持久化访问能力。 # 六、防护建议 ## 1. 紧急响应措施 ### A. 立即行动 1. 检查设备是否运行受影响版本 2. 确认 Spam Quarantine 功能是否暴露在互联网 3. 查看日志中是否存在异常活动 4. 应用 Cisco 提供的安全补丁 ### B. 指纹识别(IOCs) 检查是否存在以下迹象: - 异常的 SSH 连接 - 未知的 Python 进程 - Web 日志中的异常请求模式 - 系统日志的异常删除行为 ## 2. 长期加固措施 ### A. 网络架构 - 将管理界面部署在内网,不直接暴露于互联网 - 使用 VPN 或跳板机访问管理界面 - 实施网络分段,限制管理平面的访问 ### B. 访问控制 - 强制使用多因素认证 - 实施最小权限原则 - 定期审计管理员账户 ### C. 监控与检测 - 部署日志审计系统,实时监控异常行为 - 建立基于行为的检测规则 - 定期进行安全评估和渗透测试 # 七、参考资料 *** ## 参考资料 1. [Cisco Security Advisory cisco-sa-sma-attack-N9bf4](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4) 2. [Cisco Patches Zero-Day RCE Exploited by China-Linked APT in Secure Email Gateways](https://thehackernews.com/2026/01/cisco-patches-zero-day-rce-exploited-by.html) 最后修改:2026 年 01 月 17 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏