أعلنت شركة سيسكو عن سد ثغرة أمنية خطيرة ذات تصنيف أقصى، تم استغلالها سابقاً كسلسلة صفرية (zero-day) من قبل جهة تهديد متطورة ترتبط بالصين. تقع هذه الثغرة في برنامج Cisco AsyncOS الخاص بأجهزة Cisco Secure Email Gateway و Cisco Secure Email and Web Manager، وتشكل خطراً حقيقياً على أمن البيانات.
يُعرف هذا التهديد بالرمز UAT-9686، وقد تم رصد استغلاله في أواخر عام 2025. وقد أصدرت سيسكو اليوم تحديثات لمعالجة هذه الثغرة، التي تحمل الرقم CVE-2025-20393، وتقييم خطورتها 10.0 حسب نظام CVSS.
سيسكو تعالج ثغرة تنفيذ الأوامر عن بعد (RCE)
تتيح هذه الثغرة للمهاجمين تنفيذ أوامر عشوائية بصلاحيات الجذر على نظام التشغيل الأساسي للأجهزة المتأثرة. يحدث ذلك نتيجة لقصور في التحقق من صحة طلبات HTTP ضمن ميزة Spam Quarantine (حجر البريد المزعج).
ومع ذلك، يتطلب استغلال هذه الثغرة توافر ثلاثة شروط أساسية. يجب أن يعمل الجهاز بإصدار معرض للخطر من برنامج Cisco AsyncOS، وأن تكون ميزة Spam Quarantine مفعلة. إضافة إلى ذلك، يجب أن تكون هذه الميزة متاحة وقابلة للوصول إليها من الإنترنت.
تفاصيل الهجمات والاستغلال
كشفت سيسكو الشهر الماضي عن أدلة تفيد بأن الجهة UAT-9686 استغلت هذه الثغرة منذ أواخر نوفمبر 2025. تم استخدامها لتثبيت أدوات مثل ReverseSSH (المعروفة أيضاً باسم AquaTunnel) و Chisel، بالإضافة إلى أداة لتنظيف السجلات تسمى AquaPurge.
تميزت الهجمات أيضاً بنشر حقيبة خلفية خفيفة الوزن مكتوبة بلغة بايثون، أُطلق عليها اسم AquaShell. هذه الأداة قادرة على استقبال الأوامر المشفرة وتنفيذها، مما يزيد من تعقيد الهجوم ويصعب اكتشافه.
الإصدارات المتأثرة والتحديثات المتاحة
تم الآن معالجة الثغرة في الإصدارات التالية من البرامج، إلى جانب إزالة آليات الاستمرارية التي تم تحديدها في حملة الهجوم هذه وتثبيتها على الأجهزة:
Cisco Email Security Gateway:
برنامج Cisco AsyncOS الإصدار 14.2 وما قبله، تم الإصلاح في 15.0.5-016.
برنامج Cisco AsyncOS الإصدار 15.0، تم الإصلاح في 15.0.5-016.
برنامج Cisco AsyncOS الإصدار 15.5، تم الإصلاح في 15.5.4-012.
برنامج Cisco AsyncOS الإصدار 16.0، تم الإصلاح في 16.0.4-016.
Secure Email and Web Manager:
برنامج Cisco AsyncOS الإصدار 15.0 وما قبله، تم الإصلاح في 15.0.2-007.
برنامج Cisco AsyncOS الإصدار 15.5، تم الإصلاح في 15.5.4-007.
برنامج Cisco AsyncOS الإصدار 16.0، تم الإصلاح في 16.0.4-010.
توصيات لتعزيز الأمن
تحث سيسكو العملاء بشدة على اتباع إرشادات التعزيز لمنع الوصول من الشبكات غير الآمنة. يشمل ذلك تأمين الأجهزة خلف جدار حماية، ومراقبة حركة سجلات الويب بحثاً عن أي حركة غير متوقعة من وإلى الأجهزة.
كما توصي الشركة بتعطيل HTTP لبوابة المسؤول الرئيسية، وتعطيل أي خدمات شبكة غير ضرورية. بالإضافة إلى ذلك، يجب فرض شكل قوي من أشكال مصادقة المستخدم النهائي للأجهزة (مثل SAML أو LDAP)، وتغيير كلمة مرور المسؤول الافتراضية إلى خيار أكثر أماناً.