Cisco พบการโจมตีผ่าน AsyncOS Zero-day ที่ยังไม่มีแพตช์แก้ไข
Last updated: 18 Dec 2025
270 Views
สรุปข้อมูล
Cisco ออกประกาศเตือนผู้ใช้งานเกี่ยวกับช่องโหว่ Zero-day ระดับความรุนแรงสูงสุดใน Cisco AsyncOS ซึ่งขณะนี้ยังไม่มีแพตช์แก้ไข และพบว่ากำลังถูกนำไปใช้โจมตีจริง โดยมุ่งเป้าไปที่อุปกรณ์ Secure Email Gateway และ Secure Email and Web Manager ที่มีการตั้งค่าไม่ตรงตามมาตรฐาน และเปิดใช้งานฟีเจอร์ Spam Quarantine พร้อมเปิดให้เข้าถึงจากอินเทอร์เน็ต ทั้งนี้ Cisco Talos ระบุว่าการโจมตีดังกล่าวมีความเชื่อมโยงกับกลุ่มภัยคุกคามจากจีนที่ติดตามในชื่อ UAT-9686 ซึ่งอาศัยช่องโหว่นี้เพื่อรันคำสั่งด้วยสิทธิ์ root ติดตั้ง AquaShell backdoor รวมถึงมัลแวร์ AquaTunnel และ Chisel สำหรับสร้าง reverse SSH tunnel
รายละเอียดช่องโหว่
CVE-2025-20393 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ประเภท Improper Input Validation (CWE-20) ใน Secure Email Gateway และ Secure Email and Web Manager มีการรับข้อมูลจากผู้ใช้งานหรือจากแหล่งภายนอกแต่ไม่ได้ตรวจสอบข้อมูลนั้นอย่างถูกต้องก่อนนำไปใช้งาน ทำให้ผู้โจมตีสามารถส่งข้อมูลที่เป็นอันตรายเข้ามาได้ ส่งผลให้ระบบถูกแก้ไขหรือทำลายข้อมูล และอาจทำให้ระบบไม่สามารถให้บริการได้ตามปกติ
เวอร์ชันที่ได้รับผลกระทบ
- Cisco Secure Email เวอร์ชัน 13.0.0-392, 13.0.5-007, 13.5.1-277, 13.5.4-038
- Cisco Secure Email เวอร์ชัน 14.0.0-698, 14.2.0-620, 14.2.1-020, 14.3.0-032
- Cisco Secure Email เวอร์ชัน 15.0.0-104, 15.0.1-030, 15.0.3-002, 15.5.3-022, 15.5.0-048, 15.5.1-055, 15.5.2-018
- Cisco Secure Email เวอร์ชัน 16.0.0-050, 16.0.0-054, 16.0.1-017
- Cisco Secure Email and Web Manager เวอร์ชัน 12.8.1-002, 12.8.1-021
- Cisco Secure Email and Web Manager เวอร์ชัน 13.6.2-023, 13.6.2-078, 13.0.0-249, 13.0.0-277, 13.8.1-052, 13.8.1-068, 13.8.1-074, 13.6.1-201, 13.8.1-108
- Cisco Secure Email and Web Manager เวอร์ชัน 14.0.0-404, 14.1.0-227, 14.2.0-203, 14.2.0-212, 14.2.0-224, 14.3.0-120
- Cisco Secure Email and Web Manager เวอร์ชัน 15.0.0-334, 15.5.1-024, 15.5.1-029, 15.5.2-005, 15.5.3-017, 15.0.1-035
- Cisco Secure Email and Web Manager เวอร์ชัน 16.0.0-195, 16.0.1-010, 16.0.2-088
Cisco แนะนำให้ผู้ดูแลระบบดำเนินมาตรการเพื่อลดความเสี่ยงและจำกัดการเข้าถึงอุปกรณ์ที่มีความเสี่ยง โดยข้อแนะนำประกอบด้วยการจำกัดการเข้าถึงจากอินเทอร์เน็ต อนุญาตการเชื่อมต่อเฉพาะจากโฮสต์ที่เชื่อถือได้ และวางอุปกรณ์ไว้หลังไฟร์วอลล์เพื่อกรองทราฟฟิกอันตราย
ผลกระทบจากช่องโหว่
ผลกระทบจากช่องโหว่เปิดโอกาสให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ Cisco Secure Email Gateway และ Secure Email and Web Manager โดยอาจรันคำสั่งด้วยสิทธิ์ระดับ Root ติดตั้ง backdoor เพื่อคงอยู่ในระบบ สร้างช่องทางเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ของผู้โจมตี และลบร่องรอยการโจมตี ส่งผลให้ข้อมูลอีเมลและการตั้งค่าระบบมีความเสี่ยงต่อการถูกเข้าถึง แก้ไข หรือทำลายโดยไม่ได้รับอนุญาต
คำแนะนำ
- ติดตามและปฏิบัติตามวิธีการแก้ไขปัญหาตามประกาศของ Cisco
- จำกัดการเข้าถึงอุปกรณ์ให้เชื่อมต่อได้เฉพาะจากเครือข่ายหรือโฮสต์ที่เชื่อถือได้เท่านั้น
- ใช้หลักการ Least Privilege ลดสิทธิ์และปิดบัญชีที่ไม่จำเป็น
- อัปเดตระบบให้ใช้ Cisco AsyncOS เวอร์ชันล่าสุดทันทีที่มีแพตช์ออกมา
- หมั่นตรวจสอบการทำงานในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติภายในระบบ
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
แหล่งอ้างอิง
Related Content
