حمله سایبری هکرهای چینی به سیسکو با سوءاستفاده از آسیب پذیری Zero-Day در دستگاه‌های امنیت ایمیل AsyncOS

سروش شکوئی‌پورتاریخ انتشار: 1404/10/02آخرین بروزرسانی: 1404/10/02

0 زمان مطالعه: 3 دقیقه

سیسکو به کاربران خود هشدار داده است که یک آسیب پذیری Zero-Day با بیشترین سطح شدت در نرم‌افزار Cisco AsyncOS وجود دارد که به‌طور فعال توسط یک عامل تهدید مستمر (APT) با منشأ چین مورد سوءاستفاده قرار گرفته است. این عامل که با نام رمز UAT-9686 فعالیت می‌کند، تجهیزات Cisco Secure Email Gateway و Cisco Secure Email and Web Manager را هدف قرار داده است. در ادامه با جزئیات حمله سایبری هکرهای چینی به سیسکو با شما همراه هستیم.

هشدار سیسکو درباره سوءاستفاده هکرهای چینی از آسیب پذیری روز صفر در محصولات این شرکت

این غول تجهیزات شبکه اعلام کرده است که در تاریخ 10 دسامبر 2025 (19 آذر 1404) از این کمپین نفوذ مطلع شده و مشخص کرده است که «زیرمجموعه محدودی از تجهیزات» که پورت‌های خاصی از آن‌ها به اینترنت باز بوده‌اند، هدف حمله قرار گرفته‌اند. در حال حاضر مشخص نیست چه تعداد از مشتریان تحت تأثیر قرار گرفته‌اند.

در اطلاعیه امنیتی سیسکو در این باره آمده است:

«این حمله به مهاجمان اجازه می‌دهد دستورات دلخواه را با سطح دسترسی روت (root) روی سیستم‌عامل زیرساختی دستگاه آسیب‌پذیر اجرا کنند. بررسی‌های در حال انجام نشان داده است که مهاجمان مکانیسمی برای ماندگار شدن ایجاد کرده‌اند تا درجه‌ای از کنترل خود را روی دستگاه‌های هک شده حفظ کنند».

این آسیب‌پذیری که هنوز وصله‌ای برای آن منتشر نشده، با شناسه CVE-2025-20393 ردیابی می‌شود و امتیاز CVSS آن برابر با 10.0 است. این نقص ناشی از اعتبارسنجی نادرست ورودی‌ها است و به مهاجمان امکان می‌دهد دستورات مخرب را با سطح دسترسی بالا روی سیستم‌عامل زیرساخت تجهیزات اجرا کنند.

تمامی نسخه‌های نرم‌افزار Cisco AsyncOS تحت تأثیر این آسیب‌پذیری هستند. با این حال، برای اینکه بهره‌برداری از آن با موفقیت انجام شود، در هر دو نسخه فیزیکی و مجازی تجهیزات Cisco Secure Email Gateway و Cisco Secure Email and Web Manager، شرایط زیر باید برقرار باشد:

دستگاه با قابلیت Spam Quarantine پیکربندی شده باشد.
قابلیت Spam Quarantine در معرض دید از خارج قرار داشته و از اینترنت قابل دسترس باشد.

لازم به ذکر است که قابلیت Spam Quarantine به‌صورت پیش‌فرض فعال نیست. برای بررسی اینکه آیا این ویژگی در تجهیزات شما فعال است یا نه، توصیه می‌شود مراحل زیر را انجام دهید:

در Secure Email Gateway:

1- به رابط مدیریت وب متصل شوید.

2- به مسیر زیر بروید:

Network -> IP Interfaces

3- اینترفیسی را که Spam Quarantine روی آن پیکربندی شده، انتخاب کنید.

4- در صورتی که گزینه Spam Quarantine تیک خورده باشد، این قابلیت فعال است.

در Secure Email and Web Manager:

1- به رابط مدیریت وب متصل شوید.

2- به مسیر زیر بروید:

Management Appliance > Network > IP Interfaces

3- اینترفیسی را که Spam Quarantine روی آن پیکربندی شده، انتخاب کنید.

4- در صورتی که گزینه Spam Quarantine تیک خورده باشد، این قابلیت فعال است.

آسیب پذیری CVE-2025-20393 چگونه عمل می‌کند؟

بر اساس مشاهدات سیسکو، فعالیت‌های بهره‌برداری از این آسیب‌پذیری حداقل به اواخر نوامبر 2025 بازمی‌گردد. گروه هکری چینی UAT-9686 از این نقص برای استقرار ابزارهای تونل‌زنی مانند ReverseSSH (با نام دیگر AquaTunnel) و Chisel، و همچنین یک ابزار پاک‌سازی لاگ با نام AquaPurge استفاده کرده است. استفاده از AquaTunnel پیش‌تر نیز به گروه‌های هکری چینی مانند APT41 و UNC5174 نسبت داده شده بود.

همچنین در این حملات، یک بک‌دور سبک مبتنی بر پایتون با نام AquaShell در سیستم‌های هدف مستقر شده که قادر به دریافت دستورات رمزگذاری‌شده و اجرای آن‌ها است.

سیسکو توضیح داد:

«این بک‌دور به‌صورت غیرفعال منتظر دریافت درخواست‌های HTTP POST بدون احراز هویت است که حاوی داده‌های خاصی هستند. در صورت شناسایی چنین درخواستی، بک‌دور تلاش می‌کند محتوای آن را با استفاده از یک روال رمزگشایی سفارشی پردازش کرده و دستورات را در شل سیستم اجرا کند».

روش‌های مقابله با آسیب پذیری روز صفر در تجهیزات امنیت ایمیل سیسکو

روش‌های مقابله با آسیب پذیری روز صفر در سیسکو Secure Email Gateway

در نبود وصله امنیتی، به کاربران توصیه شده است که تجهیزات خود را به یک پیکربندی امن بازگردانند، دسترسی از اینترنت را محدود کنند، دستگاه‌ها را پشت فایروال امن قرار دهند تا ترافیک فقط از میزبان‌های مورد اعتماد مجاز باشد، عملکرد ایمیل و مدیریت را روی اینترفیس‌های شبکه جداگانه تفکیک کنند، ترافیک لاگ‌های وب را برای هرگونه رفتار غیرمنتظره پایش کنند و دسترسی HTTP به پورتال اصلی مدیریت را غیرفعال کنند. برای انجام این اقدامات بهتر است از خدمات امنیت شبکه توسط متخصصان حرفه‌ای استفاده شود.

همچنین توصیه می‌شود سرویس‌های شبکه غیرضروری خاموش شوند، از روش‌های احراز هویت قوی مانند SAML یا LDAP استفاده شود و رمز عبور پیش‌فرض مدیر سیستم با یک رمز عبور امن‌تر جایگزین شود.

سیسکو تأکید کرد:

«در صورت تأیید هک شدن، در حال حاضر تنها راهکار عملی برای حذف کامل سازوکار ماندگاری مهاجمان، بازسازی (Rebuild) کامل تجهیزات است».

این موضوع باعث شده است که آژانس امنیت سایبری و زیرساخت آمریکا (CISA) آسیب‌پذیری CVE-2025-20393 را به فهرست آسیب‌پذیری‌های شناخته‌شده و مورد بهره‌برداری قرارگرفته (KEV) اضافه کند. بر این اساس، سازمان‌های اجرایی قدرال غیرنظامی آمریکا (FCEB) موظف‌اند تا 24 دسامبر 2025 اقدامات کاهشی لازم را برای ایمن‌سازی شبکه‌های خود اعمال کنند.

به‌روزرسانی خبر:

در گزارش پلتفرم مدیریت سطح حمله Censys اعلام شده است که این شرکت 220 نمونه از Cisco Secure Email Gateway را شناسایی کرده که به اینترنت متصل هستند و در معرض دید از خارج قرار دارند؛ هرچند گفته می‌شود همه آن‌ها لزوماً آسیب‌پذیر نیستند.