CVE: CVE-2025-20393
🚨 حملات سایبری فعال علیه Cisco Secure Email Gateway
Cisco Secure Email & Web Manager – Active Exploitation
شدت: 🔴 CRITICAL
CVSS: 💥 10.0 (حداکثری)
CVE: CVE-2025-20393
CWE: CWE-20 – Improper Input Validation
🧩 خلاصه خبر
سیسکو از کمپین حملات سایبری فعال علیه تعداد محدودی از دستگاههای Cisco Secure Email Gateway و Cisco Secure Email and Web Manager خبر داده است.
این حملات به مهاجم اجازه میدهند بدون احراز هویت، دستورات دلخواه را با سطح دسترسی root روی سیستمعامل دستگاه اجرا کند.
⚠️ بررسیها نشان داده مهاجمان مکانیزم ماندگاری (Persistence) نیز روی دستگاههای آلوده نصب کردهاند.
🎯 محصولات تحت تأثیر
✅ Cisco Secure Email Gateway (فیزیکی و مجازی)
✅ Cisco Secure Email and Web Manager (فیزیکی و مجازی)
📌 شرط آسیبپذیری:
قابلیت Spam Quarantine فعال باشد
پورت مربوط به Spam Quarantine از اینترنت قابل دسترس باشد
⛔ این قابلیت بهصورت پیشفرض فعال نیست اما در برخی سناریوهای پیادهسازی، در معرض اینترنت قرار گرفته است.
📎 نکته مهم:
> تمام نسخههای Cisco AsyncOS در صورت داشتن شرایط بالا آسیبپذیر هستند.
🔥 پیامدهای امنیتی
💻 اجرای دستورات دلخواه با دسترسی Root
🕵️♂️ کنترل کامل دستگاه
🔐 نصب درب پشتی و کانال مخفی ارتباطی
🚫 عدم امکان پاکسازی کامل بدون بازسازی سیستم
🧠 شناسایی فعال بودن Spam Quarantine
🔍 Secure Email Gateway
Network → IP Interfaces → Interface → Spam Quarantine
🔍 Secure Email & Web Manager
Management Appliance → Network → IP Interfaces → Spam Quarantine
اگر تیک Spam Quarantine فعال باشد، دستگاه در معرض خطر است.
🛡️ راهکارها و توصیههای فوری Cisco
❌ هیچ workaround مستقیمی وجود ندارد
✅ اقدامات فوری پیشنهادی:
🌐 قطع دسترسی اینترنت به Web Management و Spam Quarantine
🔥 محدودسازی دسترسی فقط به IPهای مورد اعتماد
🧱 قرار دادن دستگاه پشت Firewall
🔄 ارتقا به آخرین نسخه Cisco AsyncOS
🧾 بررسی لاگها و ارسال به SIEM خارجی
🔐 غیرفعالسازی HTTP و سرویسهای غیرضروری
🔑 استفاده از احراز هویت قوی (SAML / LDAP)
👤 تغییر رمز عبور پیشفرض مدیر سیستم
🚑 در صورت احتمال آلودگی
📞 باز کردن Case با Cisco TAC
🔍 بررسی وجود Compromise
♻️ در صورت تأیید آلودگی:
تنها راه حل قطعی → Rebuild کامل Appliance
اطلاعات بیشتر
سیسکو https://sec.cloudapps.cisco.com
