Het Amerikaanse cyberagentschap CISA heeft overheidsinstanties verplicht om een aangevallen kritieke kwetsbaarheid in de Cisco Secure Email Gateway en Cisco Secure Email & Web Manager binnen een week te mitigeren. Beveiligingsupdates voor het probleem (CVE-2025-20393) zijn niet beschikbaar. Volgens Cisco maken aanvallers zeker sinds eind november misbruik van de kwetsbaarheid, waardoor een ongeauthenticeerde aanvaller willekeurige commando's met rootrechten op het onderliggende besturingssysteem van de appliance kan uitvoeren.

De impact van CVE-2025-20393 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Cisco stelt dat het misbruik van de kwetsbaarheid op 10 december ontdekte, maar dat de aanvallen al zeker sinds eind november plaatsvinden. Gisterenmiddag kwam het netwerkbedrijf met een beveiligingsbulletin waarin het voor de kwetsbaarheid waarschuwt.

De Secure Email Gateway, eerder bekend als Email Security Appliance, en de Secure Email & Web Manager, eerder bekend als Security Management Appliance (SMA), zijn zowel virtuele als hardwarematige appliances voor het filteren van e-mailverkeer op allerlei dreigingen. Voorwaarde voor misbruik is dat de appliance is geconfigureerd met de Spam Quarantine feature en deze feature vanaf het internet bereikbaar is. Cisco merkt op dat de Spam Quarantine feature niet standaard staat ingeschakeld.

Zodra de aanvallers het systeem hebben gecompromitteerd installeren ze een backdoor en verschillende andere tools. Zo wordt er een tool geïnstalleerd voor het verwijderen van bepaalde woorden uit de logbestanden, alsmede een tool voor het opzetten van een reverse SSH-verbinding en een open source tunneling tool. Het "persistence mechanism" dat de aanvallers gebruiken om toegang tot de appliance te behouden is zo lastig te verwijderen dat volgens Cisco een rebuild de enige oplossing is.

Om misbruik te voorkomen doet Cisco verschillende aanbevelingen, waaronder ervoor zorgen dat de Spam Quarantine port niet toegankelijk vanaf het internet is. Het Amerikaanse cyberagentschap CISA kan overheidsinstanties opdragen om actief aangevallen kwetsbaarheden te patchen. Normaliter hanteert het CISA hier een periode van drie weken voor. In het geval van het Cisco-lek hebben Amerikaanse overheidsinstanties één week de tijd gekregen om de mitigaties die Cisco adviseert door te voeren.

Volgens beveiligingsonderzoeker Kevin Beaumont moet Cisco heel snel veel meer openheid over de aanvallen geven, zoals Indicators of Compromise (IoC's), wanneer het eerste misbruik precies werd waargenomen en van welke poorten de aanvallers precies misbruik maken.