Sfruttamento di CVE-2025-20393: Una Vulnerabilità Zero-Day di Massima Gravità nel Software Cisco AsyncOS Abusata in Attacchi dal APT UAT-9686 Sostenuto dalla Cina
Con la fine del 2025, un’altra critica Cisco zero-day è emerso, aggiungendosi alle precedenti divulgazioni di alta gravità: due difetti RCE in Cisco ISE e SE-PIC (CVE-2025-20281 e CVE-2025-20282) e una zero-day di settembre in Cisco IOS e IOS XE (CVE-2025-20352). L’ultima vulnerabilità scoperta Cisco identificata come CVE-2025-20393, colpisce il Software AsyncOS e raggiunge un punteggio massimo di gravità CVSS di 10.0. Il difetto è già sotto sfruttamento attivo da parte di un gruppo APT collegato alla Cina tracciato come UAT-9686.
Lo sfruttamento delle vulnerabilità zero-day è in aumento, mentre il tempo per correggerle si riduce, rendendo gli aggiornamenti tempestivi più critici che mai. Il rapporto DBIR di Verizon 2025 sottolinea un aumento del 34% anno su anno delle violazioni iniziate tramite sfruttamento delle vulnerabilità, evidenziando la necessità di difese proattive. Le campagne di spionaggio sostenute dalla Cina stanno guidando questa tendenza, con operazioni che sottolineano sempre più la furtività e la sicurezza operativa negli ultimi cinque anni. Gli APT allineati alla Cina rimangono tra gli attori sponsorizzati dallo stato più veloci e attivi, spesso armando exploit appena divulgati quasi immediatamente, complicando ulteriormente il panorama globale della cybersecurity.
All’inizio di dicembre, una nuova vulnerabilità di massima gravità nei React Server Components, nota come React2Shell, è stata osservata essere sfruttata in più campagne legate alla Cina, con l’attività che accelera rapidamente sia in scala che velocità e amplia il suo ambito di targeting. Un’altra vulnerabilità di massima gravità (CVE-2025-20393), recentemente scoperta nel Software AsyncOS di Cisco, sta causando scompiglio nell’arena delle minacce informatiche, richiedendo un’ultra-vigilanza da parte dei difensori.
Iscriviti alla piattaforma SOC Prime, che offre il più grande dataset di Intelligence di rilevamento al mondo e copre un’intera pipeline dalla rilevazione alla simulazione per portare il tuo SOC al livello successivo e prevenire attacchi APT, campagne di sfruttamento e minacce informatiche di qualsiasi scala e sofisticazione. Premi Esplora le Rilevazioni per accedere a un set di regole arricchito di contesto affrontando exploit critici, filtrato per il tag ‘CVE’ corrispondente.
Il contenuto SOC sopra menzionato è supportato su oltre 40 piattaforme SIEM, EDR e Data Lake per consentire l’utilizzo dei contenuti cross-platform ed è mappato al framework più recente MITRE ATT&CK® v18.1. I team di sicurezza possono accelerare ulteriormente il flusso di lavoro di ingegneria della rilevazione end-to-end con Uncoder AI, che consente una facile creazione di regole da live threat intelligence, perfezionamento e convalida istantanea della logica di rilevazione, visualizzazione automatica dei flussi di attacco, conversione delle query IOC-to-hunt e traduzione AI-supported del contenuto di rilevazione in più formati linguistici.
Analisi CVE-2025-20393
Cisco ha recentemente avvertito la comunità globale dei difensori di una critica zero-day nel suo Software AsyncOS tracciata come CVE-2025-20393 che è attivamente sfruttata da un gruppo APT collegato alla Cina, UAT-9686, prendendo di mira il Cisco Secure Email Gateway e il Cisco Secure Email and Web Manager.
L’azienda ha riferito di essere stata informata della campagna il 10 dicembre 2025, notando che solo un sottoinsieme limitato di appliance con determinati porti esposti a Internet sembra essere colpito. Il numero totale di clienti impattati rimane poco chiaro.
Secondo il fornitore, il difetto consente agli attori delle minacce di eseguire comandi arbitrari con privilegi di root sugli apparecchi colpiti. Gli investigatori hanno anche trovato prove di un meccanismo di persistenza piantato per mantenere il controllo sui dispositivi compromessi.
La vulnerabilità rimane senza patch ed è dovuta a una valida input non adeguato, consentendo agli aggressori di eseguire comandi dannosi con privilegi elevati sul sistema operativo sottostante.
Tutte le versioni di Cisco AsyncOS sono impattate, sebbene lo sfruttamento richieda condizioni specifiche in entrambe le distribuzioni fisiche e virtuali di Cisco Secure Email Gateway e Cisco Secure Email and Web Manager. La Spam Quarantine deve essere abilitata e accessibile da Internet — un dettaglio importante, poiché questa funzione è disabilitata per impostazione predefinita. Cisco consiglia agli amministratori di verificare il suo stato tramite l’interfaccia di gestione web controllando le impostazioni dell’interfaccia di rete pertinenti.
Il fornitore ha rintracciato l’attività di sfruttamento a almeno fine novembre 2025, quando l’attore collegato alla Cina UAT-9686 ha iniziato a sfruttare la vulnerabilità per distribuire strumenti di tunneling come ReverseSSH (AquaTunnel) e Chisel, insieme a un’utilità di pulizia dei log denominata AquaPurge. AquaTunnel è stato precedentemente associato a diversi gruppi cinesi, inclusi APT41 e UNC5174. Gli avversari hanno anche distribuito una backdoor Python leggera, AquaShell, che ascolta passivamente per richieste HTTP POST non autenticate, decodifica payload appositamente realizzati ed esegue comandi tramite la shell di sistema.
Fino a quando non sarà disponibile una patch, Cisco raccomanda di indurire gli apparecchi colpiti limitando l’esposizione a Internet, posizionandoli dietro firewall che consentono solo host fidati, separando le interfacce mail e di gestione, disabilitando l’accesso HTTP al portale amministrativo principale e monitorando attentamente i log web per anomalie. Ulteriori linee guida includono disabilitare i servizi non necessari, applicare meccanismi di autenticazione forti come SAML o LDAP e sostituire le credenziali dell’amministratore predefinite con password più forti. L’azienda ha sottolineato che in scenari di compromissione confermata, ricostruire l’apparecchio è attualmente l’unico modo efficace per rimuovere la persistenza dell’attaccante.
In risposta alla crescente minaccia, CISA ha aggiunto CVE-2025-20393 al suo catalogo KEV, imponendo che le agenzie del Federal Civilian Executive Branch implementino misure di mitigazione entro il 24 dicembre 2025.
Inoltre, GreyNoise ha segnalato di aver rilevato una campagna coordinata e automatizzata di credential-stuffing che prende di mira l’infrastruttura VPN aziendale, inclusi i portali VPN SSL di Cisco e GlobalProtect di Palo Alto Networks. L’attività coinvolge tentativi di accesso su larga scala e scriptati piuttosto che lo sfruttamento delle vulnerabilità, con infrastruttura e tempistica coerenti che suggeriscono una singola campagna che ruota su più piattaforme VPN.
Lo sfruttamento veloce della CVE-2025-20393 e il suo uso attivo da parte di un gruppo di hacker supportato dalla Cina suggeriscono un aumento del rischio di attacchi a seguire contro organizzazioni in tutto il mondo. Per minimizzare i rischi di tentativi di sfruttamento, affidati a la piattaforma SOC Prime AI-Native Detection Intelligence, che equipaggia i team SOC con tecnologie all’avanguardia e la massima esperienza in materia di cybersecurity per tenere il passo con le minacce emergenti mentre si mantiene un’efficacia operativa.
