Zero-Day-Schwachstelle in Betriebssystem AsyncOS

Über die Sicherheitslücke, die im zugrundeliegenden Betriebssystem AsyncOS liegt und die bei den Attacken ausgenutzt wird, können Angreifende beliebige Befehle mit den höchsten Rechten (Root) ausführen. Dies kann zu erheblichem Schaden führen. Die Angriffe finden spätestens seit November 2025 statt. Dabei versuchen die Akteure, eine persistente Zugriffsmöglichkeit auf den Opfersystemen einzurichten. Dies soll dazu dienen, zu einem späteren Zeitpunkt wieder zugreifen zu können, auch wenn die Schwachstelle schon beseitigt sein sollte.

Folgende Produkte sind betroffen:

• Cisco Secure Email Gateway (früher: Cisco Email Security Appliance [ESA])
• Cisco Secure Email and Web Manager (früher: Cisco Content Security Management Appliance [SMA])

Beide Produkte basieren auf dem Betriebssystem AsyncOS. Bei beiden Produkten sind alle Versionen sowohl von physischen als auch von virtuellen Instanzen betroffen.

Damit ein Angriff erfolgreich sein kann, muss die Funktion Spam Quarantine aktiv und aus dem Internet erreichbar sein. Dies ist jedoch nicht die Standardeinstellung.

Die Schwachstelle hat die Kennung CVE-2025-20393 (EUVD-2025-203911) und den höchstmöglichen CVSS-Score von 10/10.

Cisco ist ein Unternehmen der Telekommunikationsbranche und ist vor allem für seine sehr weit verbreiteten Router und Switches bekannt. Der Hauptsitz ist in San José in Kalifornien.

Beachten Sie folgende Empfehlungen:

• Prüfen Sie in kurzen Abständen, ob Patches zur Verfügung stehen. Installieren Sie sie, sobald es möglich ist.
• Prüfen Sie mit den veröffentlichten Kompromittierungsindikatoren (IoC: Indicator of Compromise), ob Ihre Systeme betroffen sind (siehe Link unten).
• Erwägen Sie, die veröffentlichten Workarounds umzusetzen und möglicherweise dauerhaft bestehen zu lassen.