文章总结： 思科邮件安全网关曝出严重0day漏洞CVE-2025-20393，CVSS评分10.0，无需认证即可获Root权限。APT组织UAT-9686正利用AsyncOS垃圾邮件隔离功能发起攻击，部署AquaShell等后门。官方暂无补丁，建议限制端口访问并排查隔离设置，若确认被入侵唯一方案是重装系统。 综合评分： 88 文章分类： 漏洞预警,威胁情报,应急响应,网络安全,解决方案

无解？思科警告邮件网关遭APT组织猛攻，官方建议：中招只能重装！

原创

Hankzheng

技术修道场

2025年12月23日 07:59 广东

摘要： CVSS评分10.0，无需认证直接拿Root权限，目前官方暂无补丁。思科邮件网关正面临严峻考验，本文带你拆解攻击细节及保命指南。

大家好，如果你正在维护思科（Cisco）的设备，尤其是邮件安全网关，那今天的咖啡先别喝了，赶紧放下手里的活儿，检查一下你的网络边界。

就在这两天，安全圈炸锅了。思科官方甩出了一个 CVSS 评分高达 10.0 的满分漏洞警告。

这意味着什么？意味着利用难度低、无需用户交互、无需认证、且破坏力极大。更糟糕的是，这是一个正在被疯狂利用的 0-day 漏洞，而且截至目前，官方还没有发布修复补丁。

今天咱们就来扒一扒这个代号为 CVE-2025-20393 的漏洞，以及在没补丁的情况下，我们该怎么“苟”住安全防线。

01 发生了什么？“垃圾”里的致命危机

这次出问题的产品是大家非常熟悉的 Cisco Secure Email Gateway（以前叫ESA）和 Cisco Secure Email and Web Manager。

漏洞存在于 AsyncOS 软件的 Spam Quarantine（垃圾邮件隔离）功能中。

简单来说，如果你的设备开启了这个功能，并且该端口对公网开放，那么恭喜你，你已经成为了攻击者的靶子。思科官方监测到，一个代号为 UAT-9686 的 APT 组织从 2025 年 11 月下旬就开始利用这个漏洞搞事情了。

02 技术硬核拆解：黑客是如何“入室打劫”的？

作为搞技术的，咱们不能只看热闹，得看门道。这个漏洞之所以被评为 10.0，是因为它直击了操作系统最底层的软肋。

核心原理：输入验证失效导致 Root 提权

漏洞的根源在于输入验证不当（Improper Input Validation）。攻击者可以通过向受影响设备的 HTTP 接口发送精心构造的恶意数据包。由于系统没有对这些输入做严格的清洗和边界检查，攻击者可以直接在底层操作系统上执行任意命令。

注意，这不是普通的命令执行，而是 Root 权限。一旦得手，这台网关就不姓“思科”了，改姓“黑客”了。

攻击工具链：这一波操作很“专业”

根据思科和相关情报机构的分析，这次的攻击者 UAT-9686 绝非脚本小子，他们的一套“全家桶”工具非常成熟，且具有很强的隐蔽性：

• 打通隧道：AquaTunnel (ReverseSSH) & Chisel

  一旦拿到 Root 权限，攻击者首先要做的就是建立持久化连接。他们部署了 ReverseSSH（也被称为 AquaTunnel）和 Chisel。 技术点：这些工具可以建立反向隧道，穿透防火墙的入站限制。即使你的防火墙只允许出站流量，黑客也能通过这条隧道大摇大摆地进来。

• 清理现场：AquaPurge

  这就很鸡贼了。攻击者部署了一个名为 AquaPurge 的日志清理工具。它的作用很明确：抹除痕迹，增加取证难度，让你根本不知道自己已经被入侵了。

• 潜伏的毒蛇：AquaShell (Python 后门)

  这是此次攻击中最值得关注的技术细节。这是一个轻量级的 Python 后门，它的运作方式非常狡猾：

  “It listens passively for unauthenticated HTTP POST requests…”

  它被动监听未认证的 HTTP POST 请求。它不会主动发起连接（避免触发异常流量报警），而是静静地等待特定格式的 HTTP 请求。一旦捕获到含有特殊编码数据的 POST 请求，它就会用自定义的解码例程解析内容，并在系统 Shell 中执行。这种基于流量劫持的触发机制，极难被传统的端点防护软件发现。

03 灵魂拷问：我中招了吗？

别慌，虽然漏洞通杀所有版本的 AsyncOS，但要被成功利用，必须同时满足以下三个条件：

1. 运行的是物理机或虚拟机的 Cisco Secure Email Gateway / Web Manager。
2. Spam Quarantine（垃圾邮件隔离）功能已启用
3. Spam Quarantine 服务的端口直接暴露在公网上

自查路径： 赶紧登录你的 Web 管理界面：

Secure Email Gateway: Network > IP Interfaces > [选择配置了Spam Quarantine的接口]

Web Manager: Management Appliance > Network > IP Interfaces > [选择对应接口]

如果那个“Spam Quarantine”的勾选框是打钩的，而且这个接口配的是公网 IP，那你现在的情况非常危急。

04 没补丁咋办？

CISA（美国网络安全与基础设施安全局）已经下了死命令，要求相关机构在 12 月 24 日前完成整改。咱们虽然不用听 CISA 的，但为了自己的饭碗，以下措施必须立刻执行：

1. 壮士断腕：如已入侵，唯有重装 思科官方的话说得很绝望： “In case of confirmed compromise, rebuilding the appliances is, currently, the only viable option.” 如果你发现了入侵痕迹（比如奇怪的进程、日志缺失），不要试图清理。攻击者已经在系统深处植入了持久化后门，重装系统（Rebuild） 是唯一能彻底清除威胁的方法。

2. 紧急止血：配置隔离 在补丁出来之前，一定要限制访问： * 在防火墙层面对 Spam Quarantine 端口做极其严格的 ACL（访问控制列表），只允许受信任的 IP 访问。 * 最好彻底切断该接口的公网访问，改用 VPN 接入管理。

3. 端口分离 千万不要把管理流量和邮件数据流量混在一个网络接口上。物理分离或 VLAN 隔离是基本操作。

05 写在最后

这还没完。

除了思科这档子事，情报厂商 GreyNoise 这两天还发现，全球范围内针对 VPN 基础设施 的暴力破解攻击正在激增。超过 1 万个 IP 正在疯狂尝试撞库 Palo Alto Networks 的 GlobalProtect 和思科的 SSL VPN。

作为 IT 人，年底了，安全这根弦千万得绷紧。

如果是 0-day 漏洞，那是厂商的锅；但如果是弱口令被撞库，或者端口大开不加限制，那这口锅就得咱们自己背了。

转发给你的网络团队和安全团队，现在就开始排查！

今日互动

你们公司的邮件网关通常是直接对外，还是藏在层层防火墙之后？ 在评论区聊聊你的防御架构！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng《无解？思科警告邮件网关遭APT组织猛攻，官方建议：中招只能重装！》