A Cisco disponibilizou atualizações de segurança para corrigir uma vulnerabilidade crítica de execução remota de código (RCE) no Cisco AsyncOS, sistema utilizado pelo Cisco Secure Email Gateway e pelo Cisco Secure Email and Web Manager. A falha vinha sendo explorada ativamente como zero-day por um grupo avançado de ameaças associado à China, identificado como UAT-9686.
Catalogada como CVE-2025-20393 e classificada com pontuação máxima de 10.0 no CVSS, a vulnerabilidade é causada por uma validação inadequada de requisições HTTP no recurso de Spam Quarantine. A exploração bem-sucedida permite que invasores executem comandos arbitrários com privilégios de root diretamente no sistema operacional do appliance afetado, representando um risco elevado para ambientes corporativos.
Para que o ataque ocorra, três requisitos precisam ser atendidos: o dispositivo deve estar rodando uma versão vulnerável do AsyncOS, o recurso de Spam Quarantine deve estar ativado e esse serviço precisa estar acessível pela internet. Informações divulgadas anteriormente pela própria Cisco indicam que o grupo UAT-9686 vem explorando a falha ao menos desde novembro de 2025.
Durante os ataques, os invasores implantaram ferramentas de tunelamento como ReverseSSH (AquaTunnel) e Chisel, além de um utilitário de limpeza de registros chamado AquaPurge, usado para dificultar a detecção das atividades maliciosas. Também foi identificado um backdoor em Python, batizado de AquaShell, capaz de receber comandos codificados e executá-los remotamente.
Segundo a Cisco, as atualizações de segurança não apenas corrigem a vulnerabilidade, como também removem os mecanismos de persistência utilizados pelos atacantes. A empresa reforçou ainda recomendações de hardening, como restringir o acesso aos appliances por meio de firewall, monitorar logs web, desabilitar o uso de HTTP no portal administrativo, adotar autenticação forte — como SAML ou LDAP — e alterar a senha padrão do administrador.
