CVE-2025-20393-Angriff: Eine Zero-Day-Schwachstelle höchster Schwere in Cisco AsyncOS-Software von der China-gestützten APT UAT-9686 in Angriffen missbraucht

Als sich das Jahr 2025 dem Ende zuneigt, taucht eine weitere kritische Cisco Zero-Day auf, die zu früheren hochkritischen Enthüllungen hinzukommt: zwei RCE-Schwachstellen in Cisco ISE und SE-PIC (CVE-2025-20281 und CVE-2025-20282) und eine Zero-Day-Anfälligkeit im September in Cisco IOS und IOS XE (CVE-2025-20352). Die neueste entdeckte Cisco Schwachstelle, identifiziert als CVE-2025-20393, betrifft AsyncOS-Software und erreicht eine maximale CVSS-Schwere von 10,0. Die Schwachstelle wird bereits aktiv von einer China-verbundenen APT-Gruppe ausgenutzt, die als UAT-9686 verfolgt wird.  

Die Ausnutzung von Zero-Day-Schwachstellen nimmt zu, während die Zeit, sie zu patchen, schrumpft, was zeitnahe Updates wichtiger denn je macht. Der Verizon DBIR-Bericht 2025 hebt einen Anstieg der Übergriffe um 34 % im Jahresvergleich hervor, die durch die Ausnutzung von Schwachstellen eingeleitet wurden und die Notwendigkeit proaktiver Abwehrmaßnahmen verdeutlichen. Von China unterstützte Spionagekampagnen treiben diesen Trend voran, wobei Operationen in den letzten fünf Jahren zunehmend auf Tarnung und betriebliche Sicherheit setzen. China-ausgerichtete APT Cluster gehören nach wie vor zu den schnellsten und aktivsten staatlich gesponserten Akteuren und setzen neu enthüllte Exploits häufig fast sofort ein, was die globale Cybersicherheitslandschaft weiter verkompliziert.

Anfang Dezember wurde eine neue Schwachstelle mit maximaler Schwere in React Server Components, bekannt als React2Shell, beobachtet, die in mehreren China-verbundenen Kampagnen ausgenutzt wird, wobei die Aktivität sowohl in Umfang als auch in Tempo schnell ansteigt und den Zielbereich erweitert. Eine weitere Schwachstelle mit maximaler Schwere (CVE-2025-20393), kürzlich in Cisco AsyncOS-Software entdeckt, sorgt für Aufruhr in der Cyber-Bedrohungsarena, was von Verteidigern höchste Wachsamkeit erfordert. 

Melden Sie sich für die SOC Prime-Plattform an, die den weltweit größten Erkennungs-Intelligence-Datensatz bietet und eine vollständige Pipeline von Erkennung bis Simulation abdeckt, um Ihr SOC auf die nächste Stufe zu heben und proaktiv APT-Angriffe, Exploit-Kampagnen und Cyber-Bedrohungen jeder Größenordnung und Komplexität abzuwehren. Drücken Sie Erkennungen erkunden , um ein umfassendes, kontextangereichertes Regelset zu erreichen, das sich mit kritischen Exploits befasst, gefiltert durch den entsprechenden „CVE“-Tag.

Erkennungen erkunden

Der oben erwähnte SOC-Inhalt wird auf über 40 SIEM-, EDR- und Data-Lake-Plattformen unterstützt, um eine plattformübergreifende Nutzung von Inhalten zu ermöglichen, und ist auf das neueste MITRE ATT&CK® v18.1-Frameworkabgebildet. Sicherheitsteams können die End-to-End-Erkennungserstellungs-Workflows mit Uncoder AIweiter beschleunigen, die eine reibungslose Erstellung von Regeln aus Live-Bedrohungsinformationen, sofortige Verfeinerung und Validierung der Erkennungslogik, automatische Visualisierung des Angriffsablaufs, Konvertierung von IOC-zu-Hunt-Abfragen und AI-gestützte Übersetzung von Erkennungsinhalten in mehreren Sprachformaten ermöglicht.

CVE-2025-20393 Analyse

Cisco hat kürzlich die globale Verteidiger-Community vor einer kritischen Zero-Day-Schwachstelle in seiner AsyncOS-Software gewarnt, verfolgt als CVE-2025-20393 , die aktiv von einer China-verbundenen APT-Gruppe, UAT-9686, ausgenutzt wird, die Cisco Secure Email Gateway und Cisco Secure Email und Web Manager ins Visier nimmt.

Das Unternehmen meldete, dass es am 10. Dezember 2025 auf die Kampagne aufmerksam wurde, wobei festgestellt wurde, dass nur eine begrenzte Anzahl von Geräten mit bestimmten internetoffenen Ports betroffen zu sein scheint. Die Gesamtzahl der betroffenen Kunden bleibt unklar.

Laut Anbieter ermöglicht die Schwachstelle es Bedrohungsakteuren, beliebige Befehle mit Root-Rechten auf betroffenen Geräten auszuführen. Ermittler fanden auch Hinweise auf einen Mechanismus zur Beständigkeit, der eingerichtet wurde, um die Kontrolle über kompromittierte Geräte aufrechtzuerhalten.

Die Schwachstelle bleibt ungepatcht und resultiert aus einer unsachgemäßen Eingabevalidierung, die es Angreifern ermöglicht, schädliche Befehle mit erhöhten Rechten auf dem zugrunde liegenden Betriebssystem auszuführen.

Alle Versionen von Cisco AsyncOS sind betroffen, obwohl die Ausnutzung spezifische Bedingungen sowohl bei physischen als auch virtuellen Bereitstellungen von Cisco Secure Email Gateway und Cisco Secure Email und Web Manager erfordert. Die Spam Quarantäne Funktion muss aktiviert und vom Internet aus zugänglich sein—ein wichtiges Detail, da diese Funktion standardmäßig deaktiviert ist. Cisco empfiehlt Administratoren, ihren Status über die Web-Verwaltungsoberfläche zu überprüfen, indem sie die entsprechenden Netzwerkschnittstelleneinstellungen überprüfen.

Der Anbieter verfolgte die Ausnutzungsaktivität zurück bis mindestens Ende November 2025, als der China-verbundene Akteur UAT-9686 damit begann, die Schwachstelle zu missbrauchen, um Tunneling-Tools wie ReverseSSH (AquaTunnel) und Chisel einzusetzen, zusammen mit einem Log-Cleaning-Tool namens AquaPurge. AquaTunnel wurde zuvor mit verschiedenen chinesischen Gruppen in Verbindung gebracht, darunter APT41 und UNC5174. Gegner setzten auch eine leichte Python-Hintertür, AquaShell, ein, die passiv auf nicht authentifizierte HTTP POST-Anfragen lauscht, speziell gestaltete Payloads dekodiert und Befehle über das System-Shell ausführt.

Bis ein Patch verfügbar wird, empfiehlt Cisco, betroffene Geräte abzusichern, indem die Internet-Exposition eingeschränkt, sie hinter Firewalls platziert werden, die nur vertrauenswürdige Hosts zulassen, Mail- und Verwaltungs-Schnittstellen getrennt, der HTTP-Zugriff auf das Hauptadministrationsportal deaktiviert sowie Webprotokolle auf anomale Aktivitäten überwacht werden. Zusätzliche Hinweise umfassen die Deaktivierung unnötiger Dienste, die Durchsetzung starker Authentifizierungsmechanismen wie SAML oder LDAP, und den Austausch standardmäßiger Administrator-Anmeldedaten durch stärkere Passwörter. Das Unternehmen betonte, dass in bestätigten Kompromittierungsfällen der Wiederaufbau des Geräts derzeit die einzige effektive Methode ist, um die Persistenz des Angreifers zu entfernen.

Als Antwort auf die zunehmende Bedrohung hat CISA CVE-2025-20393 zu seinem KEV-Katalog hinzugefügt, wobei die Bundesbehörden der zivilen Exekutive aufgefordert werden, die Eindämmungen bis zum 24. Dezember 2025 umzusetzen.

Darüber hinaus berichtete GreyNoise die Erkennung einer koordinierten, automatisierten Anmeldeinformationsangriffskampagne, die sich auf die VPN-Infrastruktur von Unternehmen konzentriert, einschließlich Cisco SSL VPN und Palo Alto Networks GlobalProtect Portalen. Die Aktivität umfasst groß angelegte skriptgesteuerte Anmeldeversuche anstelle der Ausnutzung von Schwachstellen, wobei konsistente Infrastruktur und Timing darauf hindeuten, dass eine einzige Kampagne über mehrere VPN-Plattformen hinweg schwenkt.

Die schnelle Ausnutzung von CVE-2025-20393 und dessen aktive Nutzung durch eine von China unterstützte Hackergruppe deuten auf ein steigendes Risiko von Folgeangriffen gegen Organisationen weltweit hin. Um die Risiken von Ausnutzungsversuchen zu minimieren, verlassen Sie sich auf SOC Primes AI-Native Detection Intelligence Platform, die SOC-Teams mit hochinnovativen Technologien und erstklassiger Cybersicherheits-Expertise ausstattet, um aufkommenden Bedrohungen voraus zu sein und die betriebliche Effektivität aufrechtzuerhalten.