Exploração do CVE-2025-20393: Uma Vulnerabilidade Zero Day de Máxima Severidade no Software Cisco AsyncOS Abusada em Ataques pelo APT UAT-9686 com Apoio da China

À medida que 2025 chega ao fim, mais um crítico da Cisco zero-day surgiu, juntando-se a divulgações anteriores de alta gravidade: duas falhas RCE no Cisco ISE e SE-PIC (CVE-2025-20281 e CVE-2025-20282) e um zero-day de setembro no Cisco IOS e IOS XE (CVE-2025-20352). A última vulnerabilidade encontrada do Cisco, identificada como CVE-2025-20393, afeta o Software AsyncOS e atinge pontuação máxima de severidade CVSS de 10.0. A falha já está sendo explorada ativamente por um grupo APT ligado à China rastreado como UAT-9686.  

A exploração de vulnerabilidades zero-day está aumentando, enquanto o tempo para corrigi-las está diminuindo, tornando as atualizações rápidas mais críticas do que nunca. O relatório DBIR da Verizon de 2025 destaca um aumento de 34% ano a ano nas violações iniciadas por exploração de vulnerabilidades, realçando a necessidade de defesas proativas. Campanhas de espionagem apoiadas pela China estão impulsionando essa tendência, com operações cada vez mais enfatizando a furtividade e a segurança operacional nos últimos cinco anos. Os clusters APT alinhados à China permanecem entre os atores patrocinados pelo estado mais rápidos e ativos, frequentemente armando explorações recém-divulgadas quase imediatamente, complicando ainda mais o cenário global de cibersegurança.

No início de dezembro, uma nova vulnerabilidade de máxima severidade nos Componentes do Servidor React, conhecida como React2Shell, foi observada sendo explorada em várias campanhas ligadas à China, com atividade rapidamente acelerando em escala e ritmo e ampliando seu escopo de direcionamento. Outra vulnerabilidade de máxima severidade (CVE-2025-20393), recentemente descoberta no Software AsyncOS da Cisco, vem causando alvoroço na área de ameaças cibernéticas, exigindo ultra vigilância dos defensores. 

Inscreva-se na Plataforma SOC Prime, oferecendo o maior conjunto de dados de Inteligência de Detecção do mundo e cobrindo um pipeline completo, da detecção à simulação, para levar seu SOC a um novo patamar e impedir proativamente ataques APT, campanhas de exploração e ameaças cibernéticas de qualquer escala e sofisticação. Pressione Explorar Detecções para acessar um conjunto abrangente de regras enriquecidas por contexto abordando explorações críticas, filtradas pela tag correspondente “CVE”.

Explorar Detecções

O conteúdo do SOC acima mencionado é suportado em mais de 40 plataformas SIEM, EDR e Data Lake para permitir a utilização de conteúdo em várias plataformas e é mapeado para a estrutura mais recente MITRE ATT&CK® v18.1. As equipes de segurança podem ainda acelerar os fluxos de trabalho de engenharia de detecção de ponta a ponta com Uncoder AI, que permite a criação suave de regras a partir de inteligência de ameaças ao vivo, refinamento e validação instantâneos da lógica de detecção, visualização automática do Fluxo de Ataque, conversão de IOC para consulta de caça e tradução apoiada por IA de conteúdo de detecção em múltiplos formatos de linguagem.

Análise do CVE-2025-20393

A Cisco recentemente alertou a comunidade global de defensores sobre um zero-day crítico em seu Software AsyncOS rastreado como CVE-2025-20393 que está sendo ativamente explorado por um grupo APT ligado à China, UAT-9686, com alvo no Gateway Seguro de Email e no Gerenciador Seguro de Email e Web da Cisco.

A empresa relatou que tomou conhecimento da campanha em 10 de dezembro de 2025, observando que apenas um subconjunto limitado de dispositivos com certas portas expostas à internet parece ser afetado. O número total de clientes impactados permanece incerto.

Segundo o fornecedor, a falha permite que atores de ameaças executem comandos arbitrários com privilégios de root em dispositivos afetados. Investigadores também encontraram evidências de um mecanismo de persistência plantado para manter o controle sobre dispositivos comprometidos.

A vulnerabilidade permanece sem patch e decorre de uma validação inadequada de entrada, permitindo que atacantes executem comandos maliciosos com privilégios elevados no sistema operacional subjacente.

Todas as versões do Cisco AsyncOS são impactadas, embora a exploração exija condições específicas em implantações físicas e virtuais do Gateway Seguro de Email e do Gerenciador Seguro de Email e Web da Cisco. O recurso Spam Quarantine deve estar habilitado e acessível a partir da internet — um detalhe importante, pois esse recurso está desativado por padrão. A Cisco aconselha administradores a verificarem seu status através da interface de gerenciamento web, verificando as configurações relevantes da interface de rede.

O fornecedor rastreou a atividade de exploração desde pelo menos o final de novembro de 2025, quando o ator ligado à China UAT-9686 começou a abusar da falha para implantar ferramentas de tunelamento como ReverseSSH (AquaTunnel) e Chisel, junto com um utilitário de limpeza de logs chamado AquaPurge. O AquaTunnel já foi associado a diversos grupos chineses, incluindo APT41 e UNC5174. Os adversários também implantaram um backdoor leve em Python, AquaShell, que escuta passivamente pedidos HTTP POST não autenticados, decodifica cargas úteis especialmente criadas e executa comandos através do shell do sistema.

Até que um patch esteja disponível, a Cisco recomenda reforçar os dispositivos afetados restringindo a exposição à internet, colocando-os atrás de firewalls que permitam apenas hosts confiáveis, separando interfaces de email e gerenciamento, desabilitando o acesso HTTP ao portal de administração principal e monitorando de perto os logs da web para atividade anômala. Recomendações adicionais incluem desativar serviços desnecessários, reforçar mecanismos de autenticação fortes como SAML ou LDAP e substituir credenciais de administrador padrão por senhas mais fortes. A empresa enfatizou que, em cenários de comprometimento confirmado, reconstruir o dispositivo é atualmente a única maneira eficaz de remover a persistência do atacante.

Em resposta à ameaça crescente, CISA adicionou o CVE-2025-20393 ao seu catálogo KEV, exigindo que agências da Ramo Executivo Civil Federal implementem mitigações até 24 de dezembro de 2025.

Além disso, GreyNoise reportou a detecção de uma campanha coordenada e automatizada de stuffing de credenciais visando a infraestrutura de VPN corporativa, incluindo os portais SSL VPN da Cisco e GlobalProtect da Palo Alto Networks. A atividade envolve tentativas de login em larga escala escritas em script em vez de exploração de vulnerabilidades, com infraestrutura e cronograma consistentes sugerindo uma única campanha se movendo através de múltiplas plataformas VPN.

A rápida exploração do CVE-2025-20393 e seu uso ativo por um grupo de hackers apoiado pela China sugerem um risco crescente de ataques subsequentes contra organizações em todo o mundo. Para minimizar os riscos de tentativas de exploração, confie na Plataforma de Inteligência de Detecção Nativa de IA da SOC Prime, que equipa as equipes de SOC com tecnologias de ponta e a mais alta expertise em cibersegurança para permanecerem à frente das ameaças emergentes enquanto mantêm a eficácia operacional.