A tecnológica norte-americana disponibilizou finalmente as correções definitivas para uma vulnerabilidade de gravidade máxima no seu software AsyncOS. Esta falha zero-day tem vindo a ser explorada ativamente desde novembro de 2025 em ataques direcionados contra equipamentos Secure Email Gateway (SEG) e Secure Email and Web Manager (SEWM).
De acordo com a explicação da Cisco, que divulgou inicialmente o problema em dezembro (identificado como CVE-2025-20393), a vulnerabilidade afeta apenas os dispositivos com configurações não padrão. O risco surge especificamente quando a funcionalidade de "Spam Quarantine" está ativada e exposta diretamente à Internet, criando uma porta de entrada para atividades maliciosas.
A empresa detalha que os equipamentos afetados contêm uma falha de validação de entrada imprópria. Na prática, isto permite que agentes de ameaças executem comandos arbitrários com privilégios de root no sistema operativo subjacente do dispositivo, garantindo-lhes controlo total sobre a máquina comprometida. As instruções completas para a atualização de software estão disponíveis no aviso de segurança oficial.
O rasto do grupo UAT-9686 e ferramentas personalizadas
A investigação foi liderada pela Cisco Talos, a equipa de inteligência e pesquisa de ameaças da empresa, que atribui estes ataques com "confiança moderada" a um grupo de hackers monitorizado como UAT-9686. As evidências apontam para que este grupo tenha ligações à China, operando como uma ameaça persistente avançada (APT).
Durante a análise forense aos ataques, os investigadores observaram o grupo a implementar um conjunto sofisticado de ferramentas para manter o acesso e ocultar a sua presença. Entre o malware detetado, destaca-se o "AquaShell", uma backdoor persistente personalizada, bem como o "AquaTunnel" e o "Chisel", utilizados para criar túneis SSH reversos. Para apagar os seus passos, os atacantes recorreram ainda a uma ferramenta de limpeza de registos denominada "AquaPurge".
A equipa de segurança nota que a infraestrutura e as ferramentas, nomeadamente o AquaTunnel, já foram associadas no passado a outros grupos de ameaças patrocinados pelo estado chinês, como o APT41 e o UNC5174, reforçando a teoria da origem destes ciberataques.
Pressão das autoridades e mitigação de riscos
A gravidade da situação levou a Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) a agir rapidamente. A agência adicionou a vulnerabilidade CVE-2025-20393 ao seu catálogo de falhas exploradas conhecidas a 17 de dezembro, ordenando às agências federais que protegessem os seus sistemas num prazo de apenas uma semana, até 24 de dezembro.
A CISA alertou que este tipo de vulnerabilidades constitui um vetor de ataque frequente para agentes cibernéticos maliciosos, representando riscos significativos para as organizações. A recomendação principal passa agora pela aplicação imediata das atualizações de firmware fornecidas pela fabricante, bem como pela verificação de sinais de potencial comprometimento em todos os produtos acessíveis via Internet que possam ter estado expostos a esta falha.
Nenhum comentário
Seja o primeiro!