Cisco schließt kritische Zero-Day-Lücke in E-Mail-Sicherheitsprodukten

Cisco hat Notfall-Updates für eine schwerwiegende Sicherheitslücke in seinen E-Mail-Gateways veröffentlicht. Die Schwachstelle wurde bereits seit November ausgenutzt.

Die als CVE-2025-20393 identifizierte Lücke in den Appliances Secure Email Gateway und Secure Email and Web Manager hat die höchste Gefahrenstufe (CVSS 10.0). Sie ermöglichte Angreifern die vollständige Fernsteuerung betroffener Systeme. Cisco wurde die aktive Ausnutzung am 10. Dezember 2025 bekannt.

Angriff mit höchsten Privilegien

Die Schwachstelle liegt in der AsyncOS-Software und betrifft die Spam-Quarantäne-Funktion. Durch speziell manipulierte HTTP-Anfragen konnten sich Angreifer ohne Authentifizierung root-Zugriff verschaffen.

Sicherheitslücken wie CVE-2025-20393 zeigen, wie schnell Angreifer kritische E-Mail-Gateways ausnutzen können. Ein kostenloser Cyber‑Security‑Report erklärt, welche Sofortmaßnahmen IT‑Teams jetzt ergreifen sollten – von effektivem Patch‑Management über kontinuierliches Log‑Monitoring bis zur Härtung administrativer Schnittstellen. Ideal für IT‑Verantwortliche, die Angriffe schneller erkennen und Schäden begrenzen wollen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Ein erfolgreicher Angriff erforderte jedoch eine spezifische, nicht standardmäßige Konfiguration: Die Spam-Quarantäne musste aktiviert und vom Internet aus erreichbar sein. Laut Cisco ist diese Funktion standardmäßig deaktiviert. Cloud-basierte Produkte des Unternehmens sind nicht betroffen.

Verdacht auf staatlich gesteuerte Spionage

Cisco’s Threat-Intelligence-Abteilung Talos schreibt die Angriffskampagne der mutmaßlich chinesischen APT-Gruppe UAT-9686 zu. Die Taktiken und Tools ähneln bekannten Mustern staatlicher Akteure.

Die Angreifer installierten einen maßgeschneiderten Python-Backdoor namens “AquaShell”, um dauerhaften Zugriff zu behalten. Zusätzlich setzten sie Werkzeuge wie AquaTunnel und Chisel ein, um sich im Netzwerk zu bewegen, sowie AquaPurge, um Spuren zu verwischen.

Ziel der Angriffe waren nach Erkenntnissen von Talos vor allem Unternehmen aus den Bereichen Telekommunikation und kritische Infrastruktur. Das deutet auf klassische Spionageabsichten hin.

Updates entfernen auch Schadsoftware

Cisco hat nun Patches für mehrere AsyncOS-Versionen bereitgestellt. Die Updates beheben nicht nur die ursprüngliche Lücke, sondern entfernen auch die von den Angreifern installierten Hintertüren.

Bereits im Dezember hatte die US-Cybersicherheitsbehörde CISA die Schwachstelle in ihren Katalog aktiv ausgenutzter Lücken aufgenommen und Bundesbehörden zur Absicherung verpflichtet. Für bereits kompromittierte Systeme riet Cisco ursprünglich zum kompletten Neuaufbau der Appliance – die neuen Patches sollen diesen Prozess vereinfachen.

Konfiguration als kritischer Faktor

Der Vorfall unterstreicht, wie wichtig sichere Grundkonfigurationen und schnelles Patch-Management sind. Die Angreifer nutzten eine nicht standardmäßige Konfiguration aus, um an ihr Ziel zu gelangen.

Cisco empfiehlt Kunden dringend, ihre Gerätekonfiguration zu überprüfen und zu härten. Dazu gehören:
* Die Platzierung von Appliances hinter einer Firewall
* Das Deaktivieren nicht benötigter Netzwerkdienste
* Den Schutz administrativer Schnittstellen vor Internetzugriff
* Die Einführung starker Multi-Faktor-Authentifizierung

Unternehmen sollten ihre Netzwerklogs weiterhin auf verdächtige Aktivitäten überwachen. Bei Verdacht auf eine Kompromittierung steht Ciscos Technical Assistance Center (TAC) für Unterstützung bereit.

PS: Wussten Sie, dass viele Unternehmen deutlich schlechter auf Cyberangriffe vorbereitet sind, als sie denken? Der kostenlose Leitfaden “Cyber Security Awareness Trends” zeigt praxisnahe, kosteneffiziente Maßnahmen — inklusive Prioritätenliste für Sofortmaßnahmen, die gerade bei E‑Mail‑Gateway‑Angriffen Wirkung zeigen. Ideal für Mittelständler und IT‑Verantwortliche, die Abwehr ohne große Budgets stärken wollen. Gratis‑Cyber‑Security‑Leitfaden jetzt downloaden