文章总结： 思科确认邮件网关设备存在零日漏洞CVE-2025-20393，CVSS评分10.0。该漏洞源于垃圾邮件隔离功能验证不足，允许未认证攻击者执行根级命令。关联APT组织UAT-9686正利用此漏洞部署后门攻击关键基础设施。CISA已发布警告，管理员需立即升级固件，隔离接口并监控日志以应对威胁。 综合评分： 85 文章分类： 漏洞预警,威胁情报,漏洞分析,应急响应,安全大事件

Cisco 0-day RCE 安全邮件网关漏洞在野外被利用

原创

O安全研究员 O安全研究员

O安全研究员

2026年1月16日 19:58 广东

思科已确认其安全邮件网关和安全邮件及网页管理设备中，正在积极利用一个关键的零日远程代码执行漏洞。

该漏洞被追踪为CVE-2025-20393，允许未经认证的攻击者通过精心设计的HTTP请求执行任意根级命令，指向垃圾邮件隔离功能。

该漏洞源于Cisco AsyncOS软件的垃圾邮件隔离功能中HTTP请求的验证不足，导致受影响设备能够以根权限远程执行命令。

该系统被归类为CWE-20（不当输入验证），最高 CVSSv3.1 基础得分为10.0，突出其网络可访问性、低复杂性以及对机密性、完整性和可用性的重大影响。

利用目标是启用垃圾邮件隔离并暴露于互联网的设备，通常在6025端口上，该配置默认未启用，部署指南中也不鼓励。

思科于2025年12月10日得知这些攻击，证据显示利用行为可追溯到2025年11月。

利用活动与威胁行为者

Cisco Talos将此次行动归功于UAT-9686（也称UNC-9686），这是一个与中国有关联的高级持续威胁行为者，基于与APT41和UNC5174等组织工具重叠的中等信心。

攻击者部署基于Python的AquaShell后门用于持久远程访问，同时使用反向SSH隧道工具如AquaTunnel和Chisel进行内部枢轴处理，以及AquaPurge用于日志清除以规避检测。目标包括电信和关键基础设施行业，后期利用重点是间谍活动而非勒索软件。

美国网络安全和基础设施安全局（CISA）于2025年12月17日将CVE-2025-20393列入其已知被利用漏洞目录，并要求联邦机构于2025年12月24日前进行缓解。截至2026年1月，尚无公开的概念验证漏洞，但自动扫描技术有所增加。

入侵迹象包括植入的持久化机制，即远程访问的隐蔽通道;思科建议通过技术支持中心（TAC）验证，并启用远程访问。

缓解与固定释放

思科发布了修复漏洞并移除已知持久化机制的补丁;没有任何变通方法。管理员应立即升级，并通过网络>IP接口下的网页界面确认垃圾邮件隔离状态。

额外的加固措施包括防火墙、隔离邮件/管理接口、禁用不必要的服务如HTTP/FTP，以及使用强认证协议如SAML或LDAP。

思科安全邮件云服务保持不变。组织应外部监控日志，并联系TAC进行攻破评估。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：O安全研究员 O安全研究员 O安全研究员《Cisco 0-day RCE 安全邮件网关漏洞在野外被利用》