Quando si parla di sicurezza informatica, è normale pensare a un gioco costante tra chi attacca e chi difende. E in questo gioco, le vulnerabilità zero-day sono il jackpot per gli hacker criminali. Recentemente, una falla critica nei dispositivi di posta elettronica sicura di Cisco ha attirato l’attenzione di un gruppo di hacker cinesi molto esperti.

Questa vulnerabilità, identificata come CVE-2025-20393, ha un punteggio CVSS massimo di 10 e consente agli aggressori di prendere il controllo totale dei gateway di rete sensibili.

Ma cosa significa esattamente?

In pratica, questi attacchi permettono agli hacker di bypassare l’autenticazione ed eseguire comandi come root, il che significa avere carta bianca per fare danni. La campagna è stata scoperta da Cisco Talos e prende di mira i dispositivi Cisco Secure Email Gateway (ESA) e Secure Email and Web Manager (SMA) che eseguono il software Cisco AsyncOS.

La cosa preoccupante è che la falla richiede configurazioni specifiche non standard per essere sfruttata, ma se gli aggressori riescono a sfruttarla, le conseguenze per le organizzazioni colpite possono essere davvero catastrofiche.

Il vettore di attacco si basa su una configurazione errata specifica: la funzione Spam Quarantine. Anche se disabilitata di default, se questa funzione è abilitata e la sua porta è esposta alla rete Internet aperta, diventa un punto di ingresso diretto per gli aggressori. Insomma, è un problema che non può essere ignorato..

“Questo attacco consente agli autori della minaccia di eseguire comandi arbitrari con privilegi di root sul sistema operativo sottostante di un dispositivo interessato”, si legge nell’avviso . Una volta entrato, l’avversario non si limita a eseguire comandi, ma installa una backdoor persistente e personalizzata, progettata per mimetizzarsi con il server web dell’appliance.

Cisco Talos ha attribuito questa campagna con “moderata sicurezza” a un autore di minacce con un legame con la Cina, identificato come UAT-9686. Le tecniche del gruppo mostrano evidenti sovrapposizioni con noti APT come APT41 e UNC5174.

Il gruppo distribuisce una serie di strumenti specializzati, pensati appositamente per questi elettrodomestici, denominati serie “Aqua”:

• AquaShell: il fiore all’occhiello della campagna. Questa backdoor Python leggera è integrata chirurgicamente nei file del server web esistente dell’appliance (/data/web/euq_webui/htdocs/index.py). Ascolta passivamente richieste HTTP POST appositamente create, decodificando ed eseguendo i comandi senza lasciare traccia nel log.
• AquaPurge: uno script “cleanup team” che pulisce i log di sistema. Utilizza egrep per invertire la ricerca nei file di log, eliminando di fatto tutte le righe contenenti parole chiave specifiche relative all’attività dell’aggressore, lasciando intatto il resto del file.
• AquaTunnel: un binario GoLang compilato basato sullo strumento open source “ReverseSSH“. Questo crea una connessione inversa con l’aggressore, garantendogli di bypassare i firewall e mantenere l’accesso anche se la vulnerabilità iniziale è stata corretta.

Il meccanismo di persistenza utilizzato da UAT-9686 è così profondamente radicato che la correzione standard non è sufficiente. Il consiglio di Cisco per le compromissioni confermate è chiaro: ricostruire. “In caso di compromissione confermata, la ricostruzione degli appliance è, attualmente, l’unica opzione praticabile per eliminare il meccanismo di persistenza degli attori della minaccia dall’appliance”.

Per evitare di cadere in questi problemi, innanzitutto gli amministratori devono verificare al più presto le loro configurazioni. Un punto cruciale è controllare se la funzione Spam Quarantine è abilitata e, se sì, assicurarsi che sia protetta da un firewall e isolata dalla rete Internet pubblica. Considerando che la vulnerabilità in questione ha un punteggio CVSS di 10, che è il massimo, è chiaro che non c’è spazio per errori.

Gli amministratori devono essere sul pezzo e assicurarsi che tutto sia in ordine per evitare brutte sorprese. La prudenza e l’attenzione al dettaglio sono fondamentali per non cadere in trappole del genere.

L'articolo Backdoor invisibile nei Cisco Secure Email: quando la patch non basta più proviene da Red Hot Cyber.