CVE-2025-20393: Cisco AsyncOS Zero-Day – Patch verfügbar! Sichere Versionen, Mitigation, IOCs

Update (16.01.2026): Patch ist verfügbar. Cisco hat Sicherheitsupdates für Cisco Secure Email Gateway sowie Secure Email and Web Manager (SMA/SEWM) veröffentlicht, um die kritisch ausgenutzte Schwachstelle CVE-2025-20393 (CVSS 10.0) zu schließen. Erfolgreiche Angriffe ermöglichen Root-Ausführung und damit die vollständige Kontrolle über die Appliance. [Update] [Update]

Der Exploit hängt in der Praxis an einer typischen Kombination: verwundbare AsyncOS-Version + Spam Quarantine aktiviert + Spam Quarantine aus dem Internet erreichbar. Genau diese Bedingungen wurden in der beobachteten Kampagne missbraucht. [Update] [Hersteller]

1. Update: Patch verfügbar (16.01.2026)

Cisco hat die Warnmeldung ergänzt und nennt nun konkrete gegen die Attacke abgesicherte AsyncOS-Versionen. Admins sollten umgehend upgraden – insbesondere, wenn die Appliance in einem Setup betrieben wird, bei dem bestimmte Web-Ports öffentlich erreichbar sind. [Update]

2. Was ist passiert?

Cisco beobachtete eine laufende Angriffskampagne gegen AsyncOS-basierte Appliances. Laut Cisco Talos wurden kompromittierte Systeme mit Backdoors und Tunneling-Tools ausgestattet, um persistenten Zugriff aufzubauen und Spuren zu verwischen (u. a. Log-Manipulation). [Analyse]

3. Bin ich betroffen? (Quick-Check)

Typisch verwundbar sind Deployments von Cisco Secure Email Gateway (SEG) sowie Cisco Secure Email and Web Manager (SMA/SEWM), wenn drei Bedingungen zusammenkommen:

• Vulnerable AsyncOS-Version (nicht auf die gefixte Version aktualisiert)
• Spam Quarantine ist aktiviert
• Spam Quarantine ist internet-exponiert und erreichbar

Praxistipp: Auch nach dem Patch bleibt „nicht exponieren“ eine sehr gute Entscheidung – Appliances gehören möglichst hinter Firewall/ACL und mit starkem Auth-Setup betrieben. [Update]

4. Patch: sichere AsyncOS-Versionen (Stand 16.01.2026)

Installieren Sie mindestens eine der folgenden abgesicherten Versionen: [Update] [Update]

5. IOCs: Was prüfen (Logs/Files/Network)?

Cisco Talos ordnet die Kampagne einer China-nahen Gruppe zu, die als UAT-9686 geführt wird. Beobachtet wurden u. a. folgende Komponenten (relevant für IOC-Suche & Hunting): [Analyse]

• AquaShell – Backdoor/Persistenz (u. a. über Web-Requests getriggert). [Analyse]
• AquaTunnel / ReverseSSH und weitere Tunneling-Tools (z. B. Chisel) – Remote-Access/Reverse-Tunnel. [Analyse] [Update]
• AquaPurge – Log-Clearing/Manipulation. [Analyse]

6. Mitigation & Hardening (auch nach Patch)

1. Patchen / Upgrade: Auf eine abgesicherte AsyncOS-Version aktualisieren (siehe oben). [Update]
2. Exposition reduzieren: Spam Quarantine und Admin/Web-Interfaces nicht offen ins Internet stellen. Alternativ nur für Trusted IPs per Firewall/ACL freigeben. [Update]
3. Hardening: Unnötige Services deaktivieren, starke Authentisierung (z. B. SAML/LDAP), Admin-Passwort härten/rotieren, Web-Log-Traffic überwachen. [Update]
4. IOC-basierte Detection aktivieren: Netzwerk- und Prozessindikatoren aus Talos/BSI aufnehmen (SIEM/NDR), inkl. Tunneling- und Log-Clearing-Anzeichen. [Analyse] [Behörde]
5. Incident-Runbook: Bei bestätigter Kompromittierung strukturiert vorgehen; oft ist ein Rebuild/Neuinstallation die sicherste Option. [Hersteller]

7. Monitoring- & IOC-Checks (Beispiele)

Die folgenden Snippets sind bewusst generisch. Ziel: Internet-Exposure prüfen, Traffic normalisieren und Abweichungen alarmieren (besonders lange, ungewöhnliche Outbound-Verbindungen).

Firewall-Policy: Quarantine UI nur für Trusted IPs erlauben, alle anderen Zugriffe blockieren.

# Beispiel: Firewall-Policy (Pseudo)
ALLOW src=TRUSTED_IPS dst=APPLIANCE_PUBLIC_IP service=QUARANTINE_UI
DENY  src=ANY        dst=APPLIANCE_PUBLIC_IP service=QUARANTINE_UI
  

SIEM-Regel-Idee: Detection für ungewöhnliche Tunnels, Reverse Access und Log-Manipulation auf AsyncOS Appliances.

# Beispiel: SIEM-Regel-Idee (YAML / pseudo)
detections:
  - name: "AsyncOS Appliance - ungewöhnlicher Tunnel / Reverse Access"
    match:
      device_type: "cisco_asyncos"
      signals:
        - "new outbound tunnels"
        - "reverse ssh patterns"
        - "suspicious long-lived connections"
    severity: high

  - name: "AsyncOS Appliance - Log-Manipulation / Purge Indicators"
    match:
      device_type: "cisco_asyncos"
      signals:
        - "log deletion bursts"
        - "audit gaps"
        - "unexpected log rotation anomalies"
    severity: high
  

Für konkrete IoCs (Artefakte/Hashes/Requests) nutzen Sie bitte Talos und BSI als Ausgangspunkt. [Analyse] [Behörde]

8. Häufige Fragen zu CVE-2025-20393

8.1 Gibt es inzwischen einen Patch?

Ja – Cisco hat Updates veröffentlicht. Patchen Sie auf eine der unten genannten abgesicherten AsyncOS-Versionen. [Update] [Update]

8.2 Welche Versionen sind gefixt?

SEG: 15.0.5-016 / 15.5.4-012 / 16.0.4-016. SMA/SEWM: 15.0.2-007 / 15.5.4-007 / 16.0.4-010. [Update]

8.3 Bin ich betroffen, wenn wir die Appliance nicht aus dem Internet anbieten?

Das Risiko sinkt stark, wenn Spam Quarantine nicht internet-exponiert ist. Prüfen Sie dennoch Konfiguration & Logs, insbesondere bei Hinweisen auf Tunneling/Persistenz. [Update] [Hersteller]

8.4 Reicht Patchen, wenn kompromittiert?

Nicht zwingend. Bei bestätigter Kompromittierung sind Incident Response und häufig ein Rebuild die sicherste Option, um Persistenz zuverlässig zu entfernen. [Analyse] [Hersteller]