文章总结： GitHub用户发布Python工具CiscoSMAExposureCheck，用于检测CiscoSEG及SMA的零日漏洞CVE-2025-20393。该工具扫描指定端口和路径，识别未认证RCE攻击痕迹。脚本无依赖且易部署，建议管理员立即使用检测并修补漏洞，仅限授权环境使用。 综合评分： 70 文章分类： 漏洞预警,安全工具,漏洞分析

一款用于检测思科安全电子邮件网关零日漏洞在实际攻击中的新工具发布

祺印说信安

2025年12月24日 00:00 河南

这是一个轻量级的 Python 脚本，旨在帮助组织快速识别 CVE-2025-20393 漏洞，这是 Cisco Secure Email Gateway (SEG) 和 Secure Malware Analytics (SMA)（也称为 Cisco Secure Email and Web Manager）中的一个严重零日漏洞。

“Cisco SMA Exposure Check”工具可以检测出在最近的攻击中被利用的开放端口和服务，详情请参阅思科的公告。

该脚本由 GitHub 用户 StasonJatham 开发，并于今日公开发布。该脚本针对与漏洞相关的入侵指标，该漏洞允许未经身份验证的远程攻击者通过暴露的管理和隔离接口执行任意代码。

攻击者利用 TCP 82、83、443、8080、8443 和 9443 等端口进行管理员访问，同时隔离 6025、82、83、8443 和 9443 端口上的端点。

该工具扫描这些文件，执行 HTTP/S 指纹识别（服务器标头、状态代码、重定向、身份验证域、思科特定关键字和版本模式），并检查常见路径，例如 /quarantine、/spamquarantine、/spam、/sma-login 和 /login。

它还会抓取原始套接字横幅和标记活跃利用的指标，包括“AquaShell”、“AquaTunnel”、“Chisel”和“AquaPurge”等字符串——这些都是在实际应用中观察到的入侵后工具的标志。

部署简单，无依赖项

该脚本仅需Python 3的标准库，几秒钟即可运行：

textpython3 cisco-sa-sma-attack-N9bf4.py [-v] [-t <timeout-seconds>] <host-or-domain>

• -v：详细模式显示所有检查。
• -t：自定义超时（默认值：快速探测）。
• 支持域名或直接 IP 地址（绕过 DNS）。

| 端口类型 | 暴露的端口 | 风险等级 | | — | — | — | | Admin/Mgmt | 82、83、443、8080、8443、9443 | 紧急 | | Quarantine/Spam | 6025、82、83、8443、9443 | 高 |

结果会标记出存在漏洞的配置，使管理员能够对端口进行防火墙保护、应用 Cisco 补丁或紧急隔离系统。

思科发布的安全公告警告称，该漏洞正被积极利用，并敦促立即采取缓解措施。由于尚未公布 CVSS 评分，该漏洞未经身份验证的远程代码执行 (RCE) 潜力与以往的 SMA 漏洞类似。

这款工具填补了检测方面的空白，使安全运营团队无需使用商业扫描器即可开展工作。StasonJatham 强调负责任的使用：“仅测试已授权的系统。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安 《一款用于检测思科安全电子邮件网关零日漏洞在实际攻击中的新工具发布》