Grupo chinês explora vulnerabilidade zero-day crítica em equipamentos de segurança

Um grupo de cibercriminosos ligado à China explora, desde novembro, uma vulnerabilidade crítica zero-day, designada CVE-2025-20393, em equipamentos de segurança da Cisco, revelou a empresa esta quarta-feira.

De acordo com a SecurityWeek, a falha impacta dispositivos que operam com o software Cisco AsyncOS, nomeadamente os aparelhos Secure Email Gateway (anteriormente ESA) e Secure Email and Web Manager (antes Content SMA). Permite a execução arbitrária de comandos no sistema operativo subjacente com privilégios de root, colocando em risco a segurança dos sistemas afetados.

A Cisco, através da sua equipa de segurança Talos, identificou a exploração da vulnerabilidade em ataques dirigidos a um conjunto limitado de dispositivos com certas portas abertas para a internet. Segundo Talos, o grupo responsável, designado UAT-9686, é um agente de ameaças APT patrocinado pelo Estado chinês, avaliado com confiança moderada com base nas ferramentas e infraestruturas utilizadas.

Desde a descoberta da campanha a 10 de dezembro, verifica-se a utilização de ferramentas específicas, incluindo AquaShell, um backdoor que assegura persistência personalizada; AquaPurge, utilizado para limpeza de arquivos de logs; AquaTunnel, que estabelece uma ligação SSH inversa para acesso remoto; e Chisel, uma ferramenta open source para tunneling que permite aos atacantes redirecionar tráfego através de dispositivos comprometidos, facilitando a movimentação lateral para o ambiente interno.

A Cisco disponibilizou indicadores de compromisso para auxiliar os clientes na deteção de eventuais ataques. No entanto, não divulgou nenhum patch de segurança ou soluções alternativas para a vulnerabilidade, indicando que esta permanece por corrigir. A CISA adicionou a CVE-2025-20393 ao seu catálogo de Vulnerabilidades Conhecidas como Exploradas (KEV), orientando as agências federais a resolverem o problema até 24 de dezembro.

Paralelamente, a empresa de inteligência GreyNoise reportou outra campanha massiva que visa os produtos Cisco e Palo Alto Networks, envolvendo tentativas automatizadas de login, mas sem exploração de vulnerabilidades.

Também a SonicWall alertou para uma vulnerabilidade zero-day diferente, CVE-2025-40602, em dispositivos SMA1000, relacionada com escalada de privilégios e usada em conjunto com CVE-2025-23006 para execução remota não autenticada com privilégios elevados.