Hacker nutzen Lücke in Cisco Email Systemen aus

Seit Ende November 2025 laufen Angriffe auf Cisco Secure Email Gateway und Secure Email and Web Manager, die bei offener "Spam Quarantäne" eine vollständige Übernahme der Appliance ermöglichen können. Cisco teilt mit, der Hersteller sei am 10. Dezember 2025 auf die Kampagne aufmerksam geworden und dass Angreifer dabei beliebige Befehle mit Root-Rechten auf dem Betriebssystem ausführen können. Laut Cisco sind alle Versionen der AsyncOS-Software betroffen, die Ausnutzung hänge aber davon ab, dass "Spam Quarantäne" eingeschaltet und von aussen erreichbar gemacht wurde, die Funktion sei standardmässig nicht aktiv.

Das Unternehmen erklärt ausserdem, dass die laufenden Untersuchungen Hinweise auf einen von den Angreifern installierten Persistenzmechanismus zeigen, mit dem sie Kontrolle über kompromittierte Geräte behalten können. Der Konzern empfiehlt, den Internetzugriff auf die betroffenen Ports zu verhindern oder den Zugriff strikt auf bekannte, vertrauenswürdige Systeme zu begrenzen, etwa über eine Firewall. Zusätzlich rät Cisco unter anderem dazu, Protokolle auf ungewöhnlichen Verkehr zu prüfen und möglichst extern zu speichern, nicht benötigte Dienste wie HTTP und FTP zu deaktivieren und die Appliances auf die neueste AsyncOS-Version zu aktualisieren.


Weitere technische Details kommen von den Sicherheitsforschern von Cisco Talos, die die Aktivität einem Akteur zuordnen, den sie als UAT-9686 verfolgen, und mit mittlerer Wahrscheinlichkeit von einem chinesischen Bedrohungsakteur ausgehen. Talos beschreibt dabei eine Python-basierte Backdoor namens Aquashell, die über speziell präparierte HTTP-POST-Anfragen Befehle annehmen und ausführen kann. Genannt werden zudem Aquatunnel als Reverse-SSH-Zugang für Fernzugriff, Chisel zum Weiterleiten von Datenverkehr in interne Netze und Aquapurge zum Entfernen von Spuren in Protokolldateien.

Wenn eine Appliance nicht wieder in einen sicheren Zustand versetzt werden kann, empfiehlt Cisco den Kontakt mit dem Cisco TAC zur Prüfung einer möglichen Kompromittierung. Bei bestätigtem Befall sei eine Neuinstallation derzeit die einzige praktikable Option, um die Persistenzmechanismen der Angreifer zu entfernen, so der Hersteller. Cisco teilt zudem mit, dass die von Talos veröffentlichten Indikatoren für eine Kompromittierung im Cisco-Portfolio blockiert wurden und dass Systeme der Cisco Secure Email Cloud nicht betroffen seien. (dow)