Aanvallers maken actief misbruik van een kritieke kwetsbaarheid voor het aanvallen van Cisco Secure Email Gateway en Cisco Secure Email & Web Manager en een beveiligingsupdate is niet beschikbaar, zo waarschuwt Cisco. Via het beveiligingslek kan een aanvaller willekeurige commando's met rootrechten op het onderliggende besturingssysteem van de appliance uitvoeren. Daarbij gebruiken de aanvallers ook een "persistence mechanism" om toegang tot gehackte apparaten te behouden.

De impact van de kwetsbaarheid (CVE-2025-20393) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De Secure Email Gateway, eerder bekend als Email Security Appliance, en de Secure Email & Web Manager, eerder bekend als Security Management Appliance (SMA), zijn zowel virtuele als hardwarematige appliances voor het filteren van e-mailverkeer op allerlei dreigingen.

Volgens Cisco zijn de aanvallen gericht tegen zowel de fysieke als virtuele versies van Cisco Secure Email Gateway en Cisco Secure Email & Web Manager. Voorwaarde voor misbruik is dat de appliance is geconfigureerd met de Spam Quarantine feature en deze feature vanaf het internet bereikbaar is. Cisco merkt op dat de Spam Quarantine feature niet standaard staat ingeschakeld. Zodra de aanvallers een apparaat hebben gehackt installeren ze een "persistent covert channel" om op afstand toegang tot het apparaat te behouden.

Cisco meldt dat alle versies van Cisco AsyncOS, het besturingssysteem dat op de appliances draait, kwetsbaar zijn. De waarschuwing over de kwetsbaarheid maakt geen melding van een beveiligingsupdate. Cisco adviseert om de Spam Quarantine port niet vanaf het internet toegankelijk te maken. In het geval van gehackte appliances is een "rebuild" vereist, aangezien dat de enige manier is om het "persistence mechanism" van de aanvallers te verwijderen, aldus Cisco.