Cisco 0-Day RCE Secure Email Gateway Vulnerability Exploited in the Wild

Cisco ได้ยืนยันการถูกโจมตีแบบ Zero-day ที่มีความรุนแรงสูง (Remote Code Execution) ในอุปกรณ์ Secure Email Gateway และ Secure Email and Web Manager ช่องโหว่ CVE-2025-20393 มีคะแนน CVSSv3.1 สูงสุด 10.0 ทำให้ผู้โจมตีที่ไม่มีการรับรองความถูกต้องสามารถรันคำสั่งระดับ Root ได้ผ่านคำขอ HTTP ที่สร้างขึ้นมาเป็นพิเศษในฟีเจอร์ Spam Quarantine การโจมตีนี้เป็นผลมาจากการตรวจสอบข้อมูลป้อนเข้าที่ไม่เพียงพอ (CWE-20) ซึ่งนำไปสู่การรันคำสั่งระยะไกลด้วยสิทธิ์ระดับ Root บนอุปกรณ์ที่ได้รับผลกระทบ การโจมตีที่ยืนยันแล้วเริ่มตั้งแต่เดือนพฤศจิกายน 2025 โดยกลุ่ม APT ที่เชื่อมโยงกับจีนชื่อ UAT-9686 (หรือ UNC-9686) ซึ่งมุ่งเน้นการจารกรรมข้อมูล

Severity: วิกฤต (Critical)

System Impact:

• Cisco Secure Email Gateway (SEG) Appliances
• Cisco Secure Email and Web Manager (SMA) Appliances
• Cisco AsyncOS Software (ที่มีฟีเจอร์ Spam Quarantine เปิดใช้งานและเข้าถึงได้จากอินเทอร์เน็ต)

Technical Attack Steps:

1. ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องส่งคำขอ HTTP ที่สร้างขึ้นมาเป็นพิเศษไปยังฟีเจอร์ Spam Quarantine ของ Cisco Secure Email Gateway/Secure Email and Web Manager.
2. ช่องโหว่ (CVE-2025-20393) ซึ่งเกิดจากการตรวจสอบข้อมูลป้อนเข้าไม่เพียงพอในฟีเจอร์ Spam Quarantine (CWE-20) ทำให้ผู้โจมตีสามารถรันคำสั่งระยะไกล (RCE) ด้วยสิทธิ์ระดับ Root.
3. การโจมตีมุ่งเป้าไปที่อุปกรณ์ที่เปิดใช้งาน Spam Quarantine และเปิดเผยสู่สาธารณะ โดยปกติจะอยู่บนพอร์ต 6025 (ซึ่งไม่ใช่การกำหนดค่าเริ่มต้นและไม่แนะนำ).
4. หลังจากการเข้าถึงครั้งแรก ผู้โจมตีจะปรับใช้ Backdoor ชื่อ AquaShell เพื่อการเข้าถึงแบบถาวร.
5. ใช้เครื่องมือทำอุโมงค์ SSH แบบย้อนกลับ เช่น AquaTunnel และ Chisel เพื่อทำการเคลื่อนที่ภายในเครือข่าย.
6. ใช้เครื่องมือ AquaPurge เพื่อลบ Log การกระทำเพื่อหลีกเลี่ยงการตรวจจับ.
7. วัตถุประสงค์หลักของการโจมตีหลังจากการเข้าถึงคือการจารกรรมข้อมูล.

Recommendations:

Short Term:

• อัปเกรดเฟิร์มแวร์อุปกรณ์ Cisco Secure Email Gateway และ Secure Email and Web Manager ไปยังเวอร์ชันที่แก้ไขช่องโหว่นี้ทันที (ดูตารางเวอร์ชันที่แก้ไขแล้วในบทความ).
• ตรวจสอบให้แน่ใจว่าฟีเจอร์ Spam Quarantine ถูกปิดใช้งานหากไม่จำเป็น หรือจำกัดการเข้าถึงจากภายนอกอย่างเคร่งครัด.

Long Term:

• กำหนดค่า Firewall เพื่อจำกัดการเข้าถึงพอร์ต 6025 (และพอร์ตอื่นๆ ที่ไม่จำเป็น) บนอุปกรณ์ Cisco SEG/SMA จากอินเทอร์เน็ต.
• แยกอินเทอร์เฟซเครือข่ายสำหรับอีเมลและการจัดการออกจากกัน เพื่อลดพื้นที่การโจมตี.
• ปิดใช้งานบริการที่ไม่จำเป็นบนอุปกรณ์ เช่น HTTP และ FTP.
• ใช้โปรโตคอลการรับรองความถูกต้องที่แข็งแกร่งและปลอดภัย เช่น SAML หรือ LDAP.
• ตรวจสอบบันทึกกิจกรรมของระบบอย่างต่อเนื่องและจากแหล่งภายนอก เพื่อตรวจจับกิจกรรมที่น่าสงสัย.
• หากสงสัยว่าถูกบุกรุก ควรติดต่อ Cisco Technical Assistance Center (TAC) ทันทีเพื่อขอความช่วยเหลือในการประเมินและฟื้นฟู.

Source: https://cybersecuritynews.com/cisco-0-day-rce-secure-email-gateway-vulnerability/