Update vom 16. Januar 2026: Cisco hat Sicherheitsupdates für Cisco Secure Email Gateway sowie Secure Email and Web Manager (SMA/SEWM) veröffentlicht, um die kritisch ausgenutzte Schwachstelle CVE-2025-20393 zu schließen. Die Bewertung ist maximal kritisch: CVSS 10.0. Erfolgreiche Angriffe können Root-Ausführung und damit vollständige Kontrolle über die Appliance ermöglichen.
Der praktische Auslöser ist eine gefährliche Kombination: verwundbare AsyncOS-Version, Spam Quarantine aktiviert und Spam Quarantine aus dem Internet erreichbar. Genau diese Bedingungen wurden in der beobachteten Kampagne missbraucht.
Sofortmaßnahmen
- 1
Version und Produktlinie prüfen
Cisco Secure Email Gateway und SMA/SEWM gegen die abgesicherten AsyncOS-Versionen abgleichen.
- 2
Patch installieren
Auf die passende abgesicherte Version aktualisieren und den Rollout dokumentieren.
- 3
Internet-Erreichbarkeit begrenzen
Spam Quarantine und Web-Management per Firewall oder ACL auf vertrauenswürdige IPs beschränken.
- 4
IOCs und Telemetrie prüfen
Nach Hinweisen auf Tunneling, Persistenz, ungewöhnliche Verbindungen und Log-Manipulation suchen.
- 5
Incident-Runbook bereithalten
Bei bestätigter Kompromittierung Containment, Forensik und Rebuild oder Neuinstallation einplanen.
Update: Patch verfügbar
Cisco nennt inzwischen konkrete AsyncOS-Versionen, die gegen die beobachteten Angriffe abgesichert sind. Admins sollten umgehend upgraden, besonders wenn die Appliance Web-Funktionen nach außen anbietet oder historisch angeboten hat.
Patchen ist hier nicht nur Routinepflege. Bei einer Appliance am E-Mail-Rand des Unternehmens laufen sensible Nachrichten, Zugangspunkte und Management-Funktionen zusammen. Wird ein solches System übernommen, kann daraus ein dauerhafter Brückenkopf für Ausspähung, Tunneling und weitere interne Bewegung entstehen.
Was ist passiert?
Cisco beobachtete eine laufende Angriffskampagne gegen AsyncOS-basierte Appliances. Cisco Talos führt die Aktivität unter UAT-9686 und beschreibt kompromittierte Systeme mit Backdoors, Tunneling-Tools und Komponenten zur Spurenverwischung.
Für den Betrieb ist besonders wichtig: Die Kampagne zielte nicht auf beliebige Cisco-Systeme, sondern auf konkrete exponierte Funktionen rund um Secure Email Gateway und Secure Email and Web Manager. Wer solche Systeme betreibt, sollte deshalb nicht nur die Versionsnummer prüfen, sondern auch die tatsächliche Erreichbarkeit von Spam Quarantine und Web-Management.
Betroffenheit prüfen
Typisch kritisch sind Deployments, bei denen diese Bedingungen zusammenkommen:
- Cisco Secure Email Gateway oder Cisco Secure Email and Web Manager im Einsatz.
- AsyncOS ist nicht auf eine abgesicherte Version aktualisiert.
- Spam Quarantine ist aktiviert.
- Spam Quarantine oder relevante Web-Funktionen sind aus dem Internet erreichbar.
Auch wenn die Appliance nicht öffentlich angeboten wird, lohnt eine Prüfung. Alte Firewall-Regeln, temporäre Freigaben, Reverse-Proxies oder VPN-nahe Exposition sind in der Praxis oft weniger eindeutig als die Architekturzeichnung.
Sichere AsyncOS-Versionen
| Produktlinie | Abgesicherte Versionen | Priorität |
|---|---|---|
| Cisco Secure Email Gateway | 15.0.5-016, 15.5.4-012, 16.0.4-016 | Sofort prüfen und aktualisieren, wenn verwundbare Versionen mit erreichbarer Spam Quarantine im Einsatz sind. |
| Cisco Secure Email and Web Manager (SMA/SEWM) | 15.0.2-007, 15.5.4-007, 16.0.4-010 | Sofort prüfen und aktualisieren, besonders bei internetnaher Administration oder zentralem Management mehrerer Appliances. |
Patchen und absichern
Installieren Sie mindestens eine der genannten abgesicherten Versionen. Der Rollout sollte nachvollziehbar bleiben: Bestand, Zielversion, Zeitpunkt, verantwortliche Person und Ergebnis der Nachprüfung gehören in das Patch-Ticket.
Danach ist die Architekturfrage nicht erledigt. Appliances für E-Mail-Security sollten möglichst nicht mit Administrations- oder Quarantine-Oberflächen offen im Internet stehen. Besser ist ein enger Zugriffspfad über Firewall-Regeln, ACLs, VPN oder administrative Jump-Hosts, abhängig vom bestehenden Betriebsmodell.
Wenn ein Update nicht sofort möglich ist, darf das nur ein kurzer Zwischenzustand sein. Reduzieren Sie dann mindestens die Erreichbarkeit, deaktivieren Sie unnötige Services und schärfen Sie Monitoring auf ungewöhnliche ausgehende Verbindungen. Das ersetzt den Patch nicht.
IOCs und Hunting
Cisco Talos beschreibt mehrere Komponenten, die für IOC-Suche und Hunting relevant sind:
- AquaShell: Backdoor und Persistenz, unter anderem über Web-Requests angestoßen.
- AquaTunnel und weitere Tunneling-Werkzeuge wie ReverseSSH oder Chisel: Remote-Zugriff und Reverse-Tunnel.
- AquaPurge: Log-Clearing und Log-Manipulation zur Spurenverwischung.
Prüfen Sie nicht nur lokale Logs der Appliance. Tunneling fällt häufig eher in Netzwerktelemetrie, Proxy-Daten, Firewall-Logs, DNS und EDR/NDR-Signalen auf. Besonders relevant sind neue oder ungewöhnlich langlebige ausgehende Verbindungen von Appliances, die normalerweise ein klar begrenztes Kommunikationsprofil haben.
Monitoring-Checks
Die folgenden Snippets sind bewusst generisch. Ziel ist nicht, Cisco-Talos-IOCs zu ersetzen, sondern betriebliche Kontrollen greifbar zu machen: Internet-Erreichbarkeit reduzieren, Traffic normalisieren und Abweichungen alarmieren.
ALLOW src=TRUSTED_IPS dst=APPLIANCE_PUBLIC_IP service=QUARANTINE_UI
DENY src=ANY dst=APPLIANCE_PUBLIC_IP service=QUARANTINE_UIdetections:
- name: "AsyncOS Appliance - ungewöhnlicher Tunnel oder Reverse Access"
match:
device_type: "cisco_asyncos"
signals:
- "new outbound tunnels"
- "reverse ssh patterns"
- "suspicious long-lived connections"
severity: high
- name: "AsyncOS Appliance - Log-Manipulation oder Purge Indicators"
match:
device_type: "cisco_asyncos"
signals:
- "log deletion bursts"
- "audit gaps"
- "unexpected log rotation anomalies"
severity: highFür konkrete Artefakte, Hashes, Requests und weitere IOCs sollten Talos und die behördlichen Hinweise als Ausgangspunkt dienen. Die eigene Detection muss aber zur Umgebung passen: erlaubte Ziele, übliche Update-Verbindungen, Mail-Flows und Management-Zugriffe unterscheiden sich je nach Betrieb deutlich.
Nach dem Patch
Nach dem Update sollten Sie drei Nachweise sichern:
- Technischer Nachweis: Zielversion ist installiert und läuft.
- Expositionsnachweis: Spam Quarantine und Web-Management sind nicht offen aus dem Internet erreichbar oder nur eng begrenzt.
- Forensischer Nachweis: Relevante Telemetrie wurde auf Hinweise zu Tunneling, Persistenz und Log-Manipulation geprüft.
Bei bestätigter Kompromittierung reicht ein normales Update in der Regel nicht als Abschluss. Dann geht es um ein Incident-Vorgehen mit sauberem Containment, Sicherung relevanter Artefakte und kontrolliertem Wiederaufbau. Gerade Security-Appliances verdienen hier dieselbe Strenge wie Domänencontroller, IdP-Systeme oder zentrale Admin-Plattformen.
FAQ zu Cisco AsyncOS CVE-2025-20393
FAQ zu Cisco AsyncOS CVE-2025-20393
Gibt es inzwischen einen Patch für CVE-2025-20393?
Welche AsyncOS-Versionen gelten als abgesichert?
Bin ich betroffen, wenn wir die Appliance nicht aus dem Internet anbieten?
Reicht Patchen aus, wenn das System bereits kompromittiert war?
Quellen und weiterführende Links
- heise online: Jetzt patchen! Kritische Cisco-Lücke seit Dezember 2025 ausgenutztheise online, 16.01.2026
- The Hacker News: Cisco Patches Zero-Day RCE Exploited by China-Linked APTThe Hacker News, 16.01.2026
- BleepingComputer: Cisco finally fixes AsyncOS zero-day exploited since NovemberBleepingComputer, 16.01.2026
- Cisco: Reports About Cyberattacks Against Cisco Secure Email Gateway and Cisco Secure Email and Web ManagerCisco Security Advisory, laufend aktualisiert
- Cisco Talos: UAT-9686 actively targets Cisco Secure Email Gateway appliancesCisco Talos, 18.12.2025
- BSI: Cisco - Secure Email-Lösungen werden aktiv angegriffenBSI, 18.12.2025
- CERT-EU: Critical Vulnerability in Cisco Secure Email and Web ManagerCERT-EU, 18.12.2025