Cisco 修复零日 RCE 漏洞：中国相关 APT 组织针对安全邮件网关的攻击分析

博主： admin
发布时间：2026 年 01 月 17 日
2 次浏览
暂无评论
4977字数
分类： Security 技术分析 cisco 漏洞

Cisco 修复零日 RCE 漏洞：中国相关 APT 组织针对安全邮件网关的攻击分析

一、新闻概述

1. 标题

Cisco 修复零日 RCE 漏洞：中国相关 APT 组织针对安全邮件网关的攻击分析

2. 发布时间

2026 年 1 月 16 日

3. 来源

The Hacker News

二、核心内容

1. 事件摘要

A. 主要内容

Cisco 在周四发布安全更新，修复了一个影响 Cisco Secure Email Gateway 和 Cisco Secure Email and Web Manager 的 Cisco AsyncOS Software 的最高严重级别安全漏洞。

B. 核心亮点

漏洞编号 CVE-2025-20393，CVSS 评分满分 10.0
中国相关 APT 组织（代号 UAT-9686）已在零日攻击中利用该漏洞
攻击者可获得受影响设备底层操作系统的 root 权限
Cisco 已在多个版本中发布修复补丁

2. 关键信息

A. 漏洞编号

CVE-2025-20393

B. 严重程度

CVSS 评分 10.0（最高严重级别）

C. 涉及产品

Cisco Secure Email Gateway（邮件安全网关）
Cisco Secure Email and Web Manager（安全邮件和 Web 管理器）
Cisco AsyncOS Software

D. 攻击者

中国相关 APT 组织，代号 UAT-9686

3. 背景介绍

A. 漏洞发现时间

2025 年 11 月底，Cisco 发现该漏洞被主动利用

B. 相关上下文

这是 Cisco 在近一个月后正式发布的安全补丁，此前已披露该零日漏洞的存在

二、核心内容

1. 事件摘要

A. 主要内容

Cisco 发布安全更新，修复影响 Cisco AsyncOS Software 的远程命令执行漏洞，该漏洞已被中国相关 APT 组织在零日攻击中利用。

B. 核心亮点

CVE-2025-20393，CVSS 评分 10.0（最高严重级别）
远程命令执行漏洞，可获得 root 权限
Spam Quarantine 功能的 HTTP 请求验证不足导致漏洞
UAT-9686 组织自 2025 年 11 月底开始利用

2. 关键信息

A. 漏洞详情

编号：CVE-2025-20393
评分：CVSS 10.0
类型：远程命令执行（RCE）
原因：Spam Quarantine 功能对 HTTP 请求验证不足

B. 影响版本

Cisco AsyncOS Software Release 14.2 及更早版本
Cisco AsyncOS Software Release 15.0
Cisco AsyncOS Software Release 15.5
Cisco AsyncOS Software Release 16.0

C. 攻击时间线

最早利用时间：2025 年 11 月底
披露时间：2025 年 12 月
补丁发布：2026 年 1 月

3. 背景介绍

A. 攻击组织

UAT-9686，与中国相关的 APT 组织

B. 攻击工具链

ReverseSSH（AquaTunnel）：隧道工具
Chisel：隧道工具
AquaPurge：日志清理工具
AquaShell：轻量级 Python 后门

三、详细报道

1. 漏洞技术细节

A. 漏洞描述

CVE-2025-20393 是一个远程命令执行漏洞，源于 Spam Quarantine 功能对 HTTP 请求的验证不足。成功利用该漏洞，攻击者可以在受影响设备的底层操作系统上以 root 权限执行任意命令。

B. 利用条件

攻击要成功，必须满足三个条件：

设备运行存在漏洞的 Cisco AsyncOS Software 版本
设备配置了 Spam Quarantine 功能
Spam Quarantine 功能暴露在互联网上且可访问

C. 攻击流程

graph TD
    A[攻击者扫描] --> B{发现暴露的<br/>Spam Quarantine}
    B -->|是| C[发送恶意 HTTP 请求]
    B -->|否| D[无法利用]
    C --> E{验证绕过成功?}
    E -->|是| F[执行任意命令<br/>root 权限]
    E -->|否| D
    F --> G[部署后门工具]
    G --> H[建立持久化]
    H --> I[清理日志]

mermaid

D. 攻击者工具链

攻击者使用了一系列工具来维持访问和隐藏踪迹：

ReverseSSH（AquaTunnel）：SSH 反向隧道工具，用于建立隐蔽的通信通道
Chisel：另一种隧道工具，提供更灵活的隧道功能
AquaPurge：日志清理工具，用于删除攻击痕迹
AquaShell：轻量级 Python 后门，可接收编码命令并执行

2. 修复版本信息

A. Cisco Email Security Gateway 修复版本

Cisco AsyncOS Software Release 14.2 及更早版本：修复于 15.0.5-016
Cisco AsyncOS Software Release 15.0：修复于 15.0.5-016
Cisco AsyncOS Software Release 15.5：修复于 15.5.4-012
Cisco AsyncOS Software Release 16.0：修复于 16.0.4-016

B. Secure Email and Web Manager 修复版本

Cisco AsyncOS Software Release 15.0 及更早版本：修复于 15.0.2-007
Cisco AsyncOS Software Release 15.5：修复于 15.5.4-007
Cisco AsyncOS Software Release 16.0：修复于 16.0.4-010

C. 附加修复措施

除了修复漏洞本身，Cisco 还移除了在此次攻击活动中发现的持久化机制。

3. 安全加固建议

A. 网络隔离

防止来自非安全网络的访问
将设备置于防火墙之后

B. 监控与检测

监控 Web 日志流量，查找异常的设备出入站流量

C. 配置加固

禁用主管理员门户的 HTTP
禁用不需要的网络服务
实施强化的最终用户身份验证（如 SAML 或 LDAP）
更改默认管理员密码为更安全的密码

四、影响分析

1. 行业影响

A. 威胁态势

APT 组织持续针对企业安全网关设备
零日漏洞利用时间窗口缩短，从发现到披露再到修复的时间压缩
网络边界设备成为高价值攻击目标

B. 防御挑战

边界设备通常暴露在互联网上
传统防护措施难以检测经过加密的隧道流量
攻击者使用合法工具（如 SSH 隧道）难以被识别

2. 用户影响

A. 风险评估

使用受影响版本且 Spam Quarantine 功能暴露在互联网上的用户面临最高风险。

B. 紧急程度

CVSS 评分 10.0 表明这是一个极其严重的漏洞，需要立即采取行动。

C. 修复建议

立即应用 Cisco 提供的安全补丁
检查系统是否存在被入侵的迹象
实施加固措施以防止未来攻击

3. 技术趋势

A. 攻击趋势

APT 组织使用更复杂的工具链维持持久化访问
日志清理工具的使用显示攻击者的规避意识增强
多种隧道工具的使用提高攻击的隐蔽性

B. 防御趋势

厂商响应速度加快，从披露到补丁发布的周期缩短
补丁不仅修复漏洞，还移除已知的持久化机制

五、攻击组织分析

1. UAT-9686 组织概况

A. 归属

与中国相关的 APT 组织

B. 攻击目标

企业级安全网关设备

C. 能力特征

具备零日漏洞利用能力
使用自定义工具链（AquaTunnel、AquaPurge、AquaShell）
注重攻击隐蔽性和持久化

2. 攻击工具链分析

graph LR
    A[初始入侵<br/>CVE-2025-20393] --> B[建立访问<br/>ReverseSSH]
    B --> C[持久化<br/>AquaShell 后门]
    C --> D[横向移动<br/>Chisel 隧道]
    D --> E[痕迹清理<br/>AquaPurge]

mermaid

A. ReverseSSH（AquaTunnel）

SSH 反向隧道工具，允许攻击者通过目标设备建立的连接回连到攻击者控制的服务器，绕过防火墙限制。

B. Chisel

基于 HTTP 的快速隧道工具，使用 SSH 加密提供安全隧道，常用于穿透 restrictive 网络。

C. AquaPurge

专门的日志清理工具，用于删除攻击痕迹，使检测更加困难。

D. AquaShell

轻量级 Python 后门，可接收编码命令并执行，为攻击者提供持久化访问能力。

六、防护建议

1. 紧急响应措施

A. 立即行动

检查设备是否运行受影响版本
确认 Spam Quarantine 功能是否暴露在互联网
查看日志中是否存在异常活动
应用 Cisco 提供的安全补丁

B. 指纹识别（IOCs）

检查是否存在以下迹象：

异常的 SSH 连接
未知的 Python 进程
Web 日志中的异常请求模式
系统日志的异常删除行为

2. 长期加固措施

A. 网络架构

将管理界面部署在内网，不直接暴露于互联网
使用 VPN 或跳板机访问管理界面
实施网络分段，限制管理平面的访问

B. 访问控制

强制使用多因素认证
实施最小权限原则
定期审计管理员账户

C. 监控与检测

部署日志审计系统，实时监控异常行为
建立基于行为的检测规则
定期进行安全评估和渗透测试

七、参考资料

参考资料

最后修改：2026 年 01 月 17 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

Cisco 修复零日 RCE 漏洞：中国相关 APT 组织针对安全邮件网关的攻击分析

admin • 2026 年 01 月 17 日

<h1>Cisco 修复零日 RCE 漏洞：中国相关 APT 组织针对安全邮件网关的攻击分析</h1><h1>一、新闻概述</h1><h2>1. 标题</h2><p>Cisco 修复零日 RCE 漏洞：中国相关 APT 组织针对安全邮件网关的攻击分析</p><h2>2. 发布时间</h2><p>2026 年 1 月 16 日</p><h2>3. 来源</h2><p>The Hacker News</p><h1>二、核心内容</h1><h2>1. 事件摘要</h2><h3>A. 主要内容</h3><p>Cisco 在周四发布安全更新，修复了一个影响 Cisco Secure Email Gateway 和 Cisco Secure Email and Web Manager 的 Cisco AsyncOS Software 的最高严重级别安全漏洞。</p><h3>B. 核心亮点</h3><ul><li>漏洞编号 CVE-2025-20393，CVSS 评分满分 10.0</li><li>中国相关 APT 组织（代号 UAT-9686）已在零日攻击中利用该漏洞</li><li>攻击者可获得受影响设备底层操作系统的 root 权限</li><li>Cisco 已在多个版本中发布修复补丁</li></ul><h2>2. 关键信息</h2><h3>A. 漏洞编号</h3><p>CVE-2025-20393</p><h3>B. 严重程度</h3><p>CVSS 评分 10.0（最高严重级别）</p><h3>C. 涉及产品</h3><ul><li>Cisco Secure Email Gateway（邮件安全网关）</li><li>Cisco Secure Email and Web Manager（安全邮件和 Web 管理器）</li><li>Cisco AsyncOS Software</li></ul><h3>D. 攻击者</h3><p>中国相关 APT 组织，代号 UAT-9686</p><h2>3. 背景介绍</h2><h3>A. 漏洞发现时间</h3><p>2025 年 11 月底，Cisco 发现该漏洞被主动利用</p><h3>B. 相关上下文</h3><p>这是 Cisco 在近一个月后正式发布的安全补丁，此前已披露该零日漏洞的存在</p><h1>二、核心内容</h1><h2>1. 事件摘要</h2><h3>A. 主要内容</h3><p>Cisco 发布安全更新，修复影响 Cisco AsyncOS Software 的远程命令执行漏洞，该漏洞已被中国相关 APT 组织在零日攻击中利用。</p><h3>B. 核心亮点</h3><ul><li>CVE-2025-20393，CVSS 评分 10.0（最高严重级别）</li><li>远程命令执行漏洞，可获得 root 权限</li><li>Spam Quarantine 功能的 HTTP 请求验证不足导致漏洞</li><li>UAT-9686 组织自 2025 年 11 月底开始利用</li></ul><h2>2. 关键信息</h2><h3>A. 漏洞详情</h3><p>编号：CVE-2025-20393<br>评分：CVSS 10.0<br>类型：远程命令执行（RCE）<br>原因：Spam Quarantine 功能对 HTTP 请求验证不足</p><h3>B. 影响版本</h3><p>Cisco AsyncOS Software Release 14.2 及更早版本<br>Cisco AsyncOS Software Release 15.0<br>Cisco AsyncOS Software Release 15.5<br>Cisco AsyncOS Software Release 16.0</p><h3>C. 攻击时间线</h3><p>最早利用时间：2025 年 11 月底<br>披露时间：2025 年 12 月<br>补丁发布：2026 年 1 月</p><h2>3. 背景介绍</h2><h3>A. 攻击组织</h3><p>UAT-9686，与中国相关的 APT 组织</p><h3>B. 攻击工具链</h3><p>ReverseSSH（AquaTunnel）：隧道工具<br>Chisel：隧道工具<br>AquaPurge：日志清理工具<br>AquaShell：轻量级 Python 后门</p><h1>三、详细报道</h1><h2>1. 漏洞技术细节</h2><h3>A. 漏洞描述</h3><p>CVE-2025-20393 是一个远程命令执行漏洞，源于 Spam Quarantine 功能对 HTTP 请求的验证不足。成功利用该漏洞，攻击者可以在受影响设备的底层操作系统上以 root 权限执行任意命令。</p><h3>B. 利用条件</h3><p>攻击要成功，必须满足三个条件：</p><ol><li>设备运行存在漏洞的 Cisco AsyncOS Software 版本</li><li>设备配置了 Spam Quarantine 功能</li><li>Spam Quarantine 功能暴露在互联网上且可访问</li></ol><h3>C. 攻击流程</h3><pre><code class="lang-mermaid">graph TD
    A[攻击者扫描] --&gt; B{发现暴露的&lt;br/&gt;Spam Quarantine}
    B --&gt;|是| C[发送恶意 HTTP 请求]
    B --&gt;|否| D[无法利用]
    C --&gt; E{验证绕过成功?}
    E --&gt;|是| F[执行任意命令&lt;br/&gt;root 权限]
    E --&gt;|否| D
    F --&gt; G[部署后门工具]
    G --&gt; H[建立持久化]
    H --&gt; I[清理日志]</code></pre><p><img src="https://static.op123.ren/static/8b/8bc1614e4f2d8f4f.svg" alt="mermaid" title="mermaid" style=""></p><h3>D. 攻击者工具链</h3><p>攻击者使用了一系列工具来维持访问和隐藏踪迹：</p><ul><li>ReverseSSH（AquaTunnel）：SSH 反向隧道工具，用于建立隐蔽的通信通道</li><li>Chisel：另一种隧道工具，提供更灵活的隧道功能</li><li>AquaPurge：日志清理工具，用于删除攻击痕迹</li><li>AquaShell：轻量级 Python 后门，可接收编码命令并执行</li></ul><h2>2. 修复版本信息</h2><h3>A. Cisco Email Security Gateway 修复版本</h3><ul><li>Cisco AsyncOS Software Release 14.2 及更早版本：修复于 15.0.5-016</li><li>Cisco AsyncOS Software Release 15.0：修复于 15.0.5-016</li><li>Cisco AsyncOS Software Release 15.5：修复于 15.5.4-012</li><li>Cisco AsyncOS Software Release 16.0：修复于 16.0.4-016</li></ul><h3>B. Secure Email and Web Manager 修复版本</h3><ul><li>Cisco AsyncOS Software Release 15.0 及更早版本：修复于 15.0.2-007</li><li>Cisco AsyncOS Software Release 15.5：修复于 15.5.4-007</li><li>Cisco AsyncOS Software Release 16.0：修复于 16.0.4-010</li></ul><h3>C. 附加修复措施</h3><p>除了修复漏洞本身，Cisco 还移除了在此次攻击活动中发现的持久化机制。</p><h2>3. 安全加固建议</h2><h3>A. 网络隔离</h3><ul><li>防止来自非安全网络的访问</li><li>将设备置于防火墙之后</li></ul><h3>B. 监控与检测</h3><ul><li>监控 Web 日志流量，查找异常的设备出入站流量</li></ul><h3>C. 配置加固</h3><ul><li>禁用主管理员门户的 HTTP</li><li>禁用不需要的网络服务</li><li>实施强化的最终用户身份验证（如 SAML 或 LDAP）</li><li>更改默认管理员密码为更安全的密码</li></ul><h1>四、影响分析</h1><h2>1. 行业影响</h2><h3>A. 威胁态势</h3><ul><li>APT 组织持续针对企业安全网关设备</li><li>零日漏洞利用时间窗口缩短，从发现到披露再到修复的时间压缩</li><li>网络边界设备成为高价值攻击目标</li></ul><h3>B. 防御挑战</h3><ul><li>边界设备通常暴露在互联网上</li><li>传统防护措施难以检测经过加密的隧道流量</li><li>攻击者使用合法工具（如 SSH 隧道）难以被识别</li></ul><h2>2. 用户影响</h2><h3>A. 风险评估</h3><p>使用受影响版本且 Spam Quarantine 功能暴露在互联网上的用户面临最高风险。</p><h3>B. 紧急程度</h3><p>CVSS 评分 10.0 表明这是一个极其严重的漏洞，需要立即采取行动。</p><h3>C. 修复建议</h3><ol><li>立即应用 Cisco 提供的安全补丁</li><li>检查系统是否存在被入侵的迹象</li><li>实施加固措施以防止未来攻击</li></ol><h2>3. 技术趋势</h2><h3>A. 攻击趋势</h3><ul><li>APT 组织使用更复杂的工具链维持持久化访问</li><li>日志清理工具的使用显示攻击者的规避意识增强</li><li>多种隧道工具的使用提高攻击的隐蔽性</li></ul><h3>B. 防御趋势</h3><ul><li>厂商响应速度加快，从披露到补丁发布的周期缩短</li><li>补丁不仅修复漏洞，还移除已知的持久化机制</li></ul><h1>五、攻击组织分析</h1><h2>1. UAT-9686 组织概况</h2><h3>A. 归属</h3><p>与中国相关的 APT 组织</p><h3>B. 攻击目标</h3><p>企业级安全网关设备</p><h3>C. 能力特征</h3><ul><li>具备零日漏洞利用能力</li><li>使用自定义工具链（AquaTunnel、AquaPurge、AquaShell）</li><li>注重攻击隐蔽性和持久化</li></ul><h2>2. 攻击工具链分析</h2><pre><code class="lang-mermaid">graph LR
    A[初始入侵&lt;br/&gt;CVE-2025-20393] --&gt; B[建立访问&lt;br/&gt;ReverseSSH]
    B --&gt; C[持久化&lt;br/&gt;AquaShell 后门]
    C --&gt; D[横向移动&lt;br/&gt;Chisel 隧道]
    D --&gt; E[痕迹清理&lt;br/&gt;AquaPurge]</code></pre><p><img src="https://static.op123.ren/static/63/6353c573b95073fc.svg" alt="mermaid" title="mermaid" style=""></p><h3>A. ReverseSSH（AquaTunnel）</h3><p>SSH 反向隧道工具，允许攻击者通过目标设备建立的连接回连到攻击者控制的服务器，绕过防火墙限制。</p><h3>B. Chisel</h3><p>基于 HTTP 的快速隧道工具，使用 SSH 加密提供安全隧道，常用于穿透 restrictive 网络。</p><h3>C. AquaPurge</h3><p>专门的日志清理工具，用于删除攻击痕迹，使检测更加困难。</p><h3>D. AquaShell</h3><p>轻量级 Python 后门，可接收编码命令并执行，为攻击者提供持久化访问能力。</p><h1>六、防护建议</h1><h2>1. 紧急响应措施</h2><h3>A. 立即行动</h3><ol><li>检查设备是否运行受影响版本</li><li>确认 Spam Quarantine 功能是否暴露在互联网</li><li>查看日志中是否存在异常活动</li><li>应用 Cisco 提供的安全补丁</li></ol><h3>B. 指纹识别（IOCs）</h3><p>检查是否存在以下迹象：</p><ul><li>异常的 SSH 连接</li><li>未知的 Python 进程</li><li>Web 日志中的异常请求模式</li><li>系统日志的异常删除行为</li></ul><h2>2. 长期加固措施</h2><h3>A. 网络架构</h3><ul><li>将管理界面部署在内网，不直接暴露于互联网</li><li>使用 VPN 或跳板机访问管理界面</li><li>实施网络分段，限制管理平面的访问</li></ul><h3>B. 访问控制</h3><ul><li>强制使用多因素认证</li><li>实施最小权限原则</li><li>定期审计管理员账户</li></ul><h3>C. 监控与检测</h3><ul><li>部署日志审计系统，实时监控异常行为</li><li>建立基于行为的检测规则</li><li>定期进行安全评估和渗透测试</li></ul><h1>七、参考资料</h1><hr><h2>参考资料</h2><ol><li><span class="external-link"><a class="no-external-link" href="https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4" target="_blank"><i data-feather="external-link"></i>Cisco Security Advisory cisco-sa-sma-attack-N9bf4</a></span></li><li><span class="external-link"><a class="no-external-link" href="https://thehackernews.com/2026/01/cisco-patches-zero-day-rce-exploited-by.html" target="_blank"><i data-feather="external-link"></i>Cisco Patches Zero-Day RCE Exploited by China-Linked APT in Secure Email Gateways</a></span></li></ol>

Cisco 修复零日 RCE 漏洞：中国相关 APT 组织针对安全邮件网关的攻击分析

一、新闻概述

1. 标题

2. 发布时间

3. 来源

二、核心内容

1. 事件摘要

A. 主要内容

B. 核心亮点

2. 关键信息

A. 漏洞编号

B. 严重程度

C. 涉及产品

D. 攻击者

3. 背景介绍

A. 漏洞发现时间

B. 相关上下文

二、核心内容

1. 事件摘要

A. 主要内容

B. 核心亮点

2. 关键信息

A. 漏洞详情

B. 影响版本

C. 攻击时间线

3. 背景介绍

A. 攻击组织

B. 攻击工具链

三、详细报道

1. 漏洞技术细节

A. 漏洞描述

B. 利用条件

C. 攻击流程

D. 攻击者工具链

2. 修复版本信息

A. Cisco Email Security Gateway 修复版本

B. Secure Email and Web Manager 修复版本

C. 附加修复措施

3. 安全加固建议

A. 网络隔离

B. 监控与检测

C. 配置加固

四、影响分析

1. 行业影响

A. 威胁态势

B. 防御挑战

2. 用户影响

A. 风险评估

B. 紧急程度

C. 修复建议

3. 技术趋势

A. 攻击趋势

B. 防御趋势

五、攻击组织分析

1. UAT-9686 组织概况

A. 归属

B. 攻击目标

C. 能力特征

2. 攻击工具链分析

A. ReverseSSH（AquaTunnel）

B. Chisel

C. AquaPurge

D. AquaShell

六、防护建议

1. 紧急响应措施

A. 立即行动

B. 指纹识别（IOCs）

2. 长期加固措施

A. 网络架构

B. 访问控制

C. 监控与检测

七、参考资料

参考资料

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Cisco 修复零日 RCE 漏洞：中国相关 APT 组织针对安全邮件网关的攻击分析

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款