حذرت شركة سيسكو، الرائدة في مجال معدات الشبكات، عملائها من ثغرة أمنية حرجة ذات يوم صفر في برنامج Cisco AsyncOS، والتي تستغلها جهة تهديد متقدمة (APT) مرتبطة بالصين. تم الكشف عن هذه الثغرة، التي تحمل المعرف CVE-2025-20393، بشكل نشط وتستهدف أجهزة Cisco Secure Email Gateway و Cisco Secure Email and Web Manager.
أعلنت سيسكو عن اكتشاف حملة الاختراق في 10 ديسمبر 2025، مشيرة إلى أن مجموعة محدودة من أجهزتها التي تحتوي على منافذ معينة مفتوحة على الإنترنت قد تكون متأثرة. لا يزال حجم التأثير على العملاء غير معروف حاليًا.
ثغرة سيسكو الأمنية الخطيرة تستدعي الحذر
وفقًا لسيسكو، تسمح هذه الثغرة للمهاجمين بتنفيذ أوامر عشوائية بصلاحيات الجذر (root privileges) على نظام التشغيل الأساسي للجهاز المتأثر. وأضافت الشركة أن التحقيقات المستمرة كشفت عن وجود آلية استمرارية زرعها المهاجمون للحفاظ على سيطرتهم على الأجهزة المخترقة.
تبلغ درجة خطورة الثغرة (CVE-2025-20393) 10.0 حسب نظام CVSS، وهي تمثل حالة من عدم التحقق من صحة المدخلات بشكل سليم، مما يتيح للمهاجمين تنفيذ تعليمات خبيثة بصلاحيات مرتفعة.
شروط استغلال الثغرة
تؤثر جميع إصدارات برنامج Cisco AsyncOS على هذه الثغرة. ومع ذلك، يتطلب استغلالها الناجح توفر شرطين رئيسيين لكل من الإصدارات المادية والافتراضية لأجهزة Cisco Secure Email Gateway و Cisco Secure Email and Web Manager.
أولاً، يجب أن يكون الجهاز مهيأً باستخدام ميزة Spam Quarantine. ثانيًا، يجب أن تكون هذه الميزة متاحة ويمكن الوصول إليها من الإنترنت.
من المهم ملاحظة أن ميزة Spam Quarantine ليست مفعلة افتراضيًا. للتحقق مما إذا كانت الميزة مفعلة، يُنصح المستخدمون بالدخول إلى واجهة إدارة الويب، ثم الانتقال إلى Network > IP Interfaces واختيار الواجهة التي تم تكوين Spam Quarantine عليها (لأجهزة Secure Email Gateway)، أو Management Appliance > Network > IP Interfaces (لأجهزة Secure Email and Web Manager). إذا كان خيار Spam Quarantine محددًا، فهذا يعني أن الميزة مفعلة.
أنشطة الاستغلال والأدوات المستخدمة
تعود أنشطة الاستغلال المرصودة من سيسكو إلى أواخر نوفمبر 2025. قامت الجهة المسؤولة عن الهجوم، والمعروفة بالاسم الرمزي UAT-9686، بتوظيف الثغرة لإسقاط أدوات النفق (tunneling tools) مثل ReverseSSH (المعروف أيضًا بـ AquaTunnel) و Chisel، بالإضافة إلى أداة لتنظيف السجلات تسمى AquaPurge. يرتبط استخدام AquaTunnel سابقًا بمجموعات اختراق صينية مثل APT41 و UNC5174.
كما تم نشر باب خلفي (backdoor) خفيف الوزن مكتوب بلغة بايثون يدعى AquaShell، وهو قادر على استقبال الأوامر المشفرة وتنفيذها. وبحسب سيسكو، فإن هذا الباب الخلفي يستمع بشكل سلبي لطلبات HTTP POST غير المصادق عليها التي تحتوي على بيانات مصممة خصيصًا، ويقوم بمعالجة محتوياتها باستخدام روتين فك تشفير مخصص وتنفيذها في واجهة النظام (system shell).
إجراءات التخفيف والتوصيات
في غياب تحديث يوفر تصحيحًا، تنصح سيسكو المستخدمين باستعادة أجهزتهم إلى تكوين آمن، والحد من الوصول إليها من الإنترنت، وتأمين الأجهزة خلف جدار ناري للسماح بحركة المرور فقط من الأجهزة الموثوقة. كما يُنصح بفصل وظائف البريد الإلكتروني ووظائف الإدارة على واجهات شبكة منفصلة، ومراقبة حركة مرور سجلات الويب بحثًا عن أي حركة مرور غير متوقعة، وتعطيل HTTP لبوابة المسؤول الرئيسية.
يُوصى أيضًا بإيقاف تشغيل أي خدمات شبكة غير مطلوبة، واستخدام طرق مصادقة قوية للمستخدمين النهائيين مثل SAML أو LDAP، وتغيير كلمة مرور المسؤول الافتراضية إلى كلمة مرور أكثر أمانًا. وأكدت الشركة أنه في حالة التأكد من حدوث اختراق، فإن إعادة بناء الأجهزة تعد حاليًا الخيار الوحيد الممكن للقضاء على آلية استمرارية الجهة المهاجمة من الجهاز.
إضافة الثغرة إلى قائمة الوكالة الأمريكية
دفعت هذه التطورات وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى إضافة الثغرة CVE-2025-20393 إلى كتالوج الثغرات المعروفة والمستغلة (KEV). يتطلب ذلك من الوكالات الفيدرالية المدنية التنفيذية تطبيق التخفيف اللازم بحلول 24 ديسمبر 2025 لتأمين شبكاتها.
يأتي هذا الكشف في الوقت الذي أعلنت فيه شركة GreyNoise عن اكتشافها “حملة منسقة وآلية تستند إلى بيانات الاعتماد” تستهدف البنية التحتية لمصادقة VPN الخاصة بالمؤسسات، وخاصة استهداف بوابات Cisco SSL VPN و Palo Alto Networks GlobalProtect المكشوفة أو ذات الحماية الضعيفة. وقد تم رصد محاولات تسجيل دخول آلية من أكثر من 10,000 عنوان IP فريد إلى بوابات GlobalProtect في الولايات المتحدة وباكستان والمكسيك باستخدام مجموعات شائعة من أسماء المستخدمين وكلمات المرور في 11 ديسمبر 2025. وسجلت زيادة مماثلة في محاولات تسجيل الدخول العشوائي الموجهة إلى نقاط نهاية Cisco SSL VPN اعتبارًا من 12 ديسمبر 2025، حيث نشأت هذه الأنشطة من 1,273 عنوان IP.