Китайские хакеры взломали защищённую почту Cisco: критическая уязвимость угрожает корпоративным сетям по всему миру

Специалисты компании Cisco официально подтвердили информацию о критической уязвимости нулевого дня (CVE-2025-20393), которой воспользовались злоумышленники, действующие в интересах Китая, чтобы закрепиться в инфраструктуре защищённой электронной почты. Под удар попали устройства серии Cisco Secure Email Gateway и Web Manager, широко применяемые по всему миру. Хакеры использовали для реализации атаки не только уязвимости системы, но и продвинутый программный инструментарий, включая бэкдор Aquashell, специальные средства туннелирования и очищающие журналы утилиты.

По официальным данным, первые признаки подозрительной активности были зафиксированы 10 декабря, однако детальное расследование показало, что атаки начались ещё в конце ноября текущего года. В результате анализа специалисты Cisco пришли к выводу, что речь идёт о скоординированных действиях как минимум двух известных группировок — APT41 и UNC5174. Эти структуры уже давно прославились сложными атаками: им удаётся похищать данные с помощью легальных облачных сервисов, взламывать VPN, брандмауэры и другие элементы киберзащиты, а их основная специализация — кибершпионаж.

В ходе кампании хакеры использовали уязвимость AsyncOS для выполнения команд системного уровня, что позволило внедрить и поддерживать Aquashell — вредоносную базу на платформе Python. Поверх основного бэкдора применялись и другие инструменты: AquaTunnel (организация обратного SSH-туннеля), chisel для дополнительного проксирования, а также AquaPurge для удаления следов пребывания.

CISA, американское агентство по кибербезопасности, включило данную уязвимость в официальный перечень активно эксплуатируемых (KEV). Федеральным учреждениям предписано до 24 декабря устранить пробелы безопасности, установив все необходимые исправления или полностью прекратив эксплуатацию подвержённых продуктов.

Cisco настоятельно рекомендует всем клиентам восстановить безопасную конфигурацию устройств и ограничить их подключение к незащищённым сетям. При невозможности выполнить эти меры необходимо обратиться к специалистам компании для анализа на факт взлома. В случае выявления компрометации, отмечают эксперты, единственным способом полностью устранить угрозу будет восстановление устройств в исходное безопасное состояние. Кроме того, рекомендуется реализовать жёсткие механизмы контроля доступа и минимизировать риск открытия портов во внешние сети.

Данные события подтверждают острую актуальность кибербезопасности для бизнеса и государственных структур. Поэтому владельцам электронных почтовых шлюзов Cisco стоит как можно быстрее принять все рекомендованные меры, чтобы обезопасить корпоративную инфраструктуру от внешних угроз. Евгений Ивченко