Zero-Day Cisco AsyncOS CVSS 10: hacker già dentro, rischio root sui Secure Email Gateway aziendali

News
Visite: 156

Cisco ha lanciato un avviso urgente su una vulnerabilita zero day di gravita massima che interessa Cisco AsyncOS, il software alla base di Cisco Secure Email Gateway e Cisco Secure Email and Web Manager. La falla, identificata come CVE 2025 20393 con punteggio CVSS 10.0, risulta gia sfruttata attivamente in attacchi mirati. Il problema nasce da una validazione impropria dell input e permette a un attaccante di eseguire comandi arbitrari con privilegi di root sul sistema operativo dell appliance, con impatti potenzialmente critici sulla sicurezza della posta elettronica aziendale.

Le attivita malevole sono state osservate almeno dalla fine di novembre 2025 e hanno colpito un numero limitato di dispositivi esposti, in particolare quelli con specifiche porte raggiungibili da internet. Un aspetto centrale riguarda la funzione Spam Quarantine, che non e abilitata di default ma diventa un fattore di rischio quando e configurata e pubblicata online. In pratica, la combinazione tra Spam Quarantine attiva e accessibile da internet crea le condizioni per lo sfruttamento.

Persistenza e strumenti osservati

Negli incidenti analizzati e stata rilevata anche la presenza di meccanismi di persistenza, cioe tecniche che consentono agli attaccanti di mantenere un certo controllo anche dopo interventi di contenimento. Tra gli strumenti associati alla campagna figurano utility di tunneling come ReverseSSH e Chisel, utili per creare canali di accesso remoto, oltre a un tool di pulizia dei log chiamato AquaPurge. E stato inoltre segnalato un backdoor leggero in Python, denominato AquaShell, capace di ricevere comandi codificati tramite richieste HTTP POST non autenticate e di eseguirli nella shell di sistema.

Mitigazioni consigliate in assenza di patch

In assenza di una patch, le mitigazioni consigliate puntano a ridurre drasticamente la superficie di attacco. Tra le azioni piu importanti ci sono:

  • Limitare o bloccare l accesso da internet ai servizi esposti.
  • Mettere l appliance dietro firewall, consentendo traffico solo da host fidati.
  • Separare rete di gestione e rete di posta su interfacce diverse.
  • Monitorare i web log per traffico anomalo.
  • Disabilitare HTTP sul portale principale di amministrazione.
  • Disattivare i servizi non necessari.
  • Adottare autenticazione robusta (SAML o LDAP).
  • Cambiare la password amministratore predefinita.

In caso di compromissione confermata, la ricostruzione dell appliance e indicata come unica opzione efficace per rimuovere la persistenza.

Pin It
, , , ,

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta