Vulnerabilità

Cisco patcha zero-day RCE sfruttato da APT cinesi nei Secure Email Gateway

di Redazione
scritto da Redazione 0 commenti
cisco patcha zero day

Cisco Secure Email Gateway è stato colpito da una vulnerabilità zero-day di tipo RCE che ha consentito a un attore APT collegato alla Cina di ottenere esecuzione remota di comandi con privilegi root su appliance esposte. La falla, tracciata come CVE-2025-20393, è stata sfruttata attivamente dalla fine di novembre 2025 e ha portato Cisco a rilasciare patch urgenti e indicazioni operative per la bonifica degli ambienti compromessi.

La vulnerabilità risiede in una validazione insufficiente delle richieste HTTP all’interno della funzione Spam Quarantine di Cisco AsyncOS per Secure Email Gateway e Secure Email and Web Manager. Un attaccante remoto, senza necessità di autenticazione preventiva, può inviare richieste appositamente costruite e ottenere accesso root al sistema operativo sottostante, con impatto massimo sulla confidenzialità e sull’integrità dei dati gestiti dai gateway email.

Sfruttamento attivo e attribuzione

Cisco ha confermato che la zero-day è stata sfruttata in the wild da un gruppo tracciato come UAT-9686, attribuito ad attività di spionaggio e raccolta di intelligence riconducibili all’ecosistema APT cinese. Gli attaccanti hanno installato strumenti di persistenza e tunneling per mantenere l’accesso a lungo termine e muoversi lateralmente all’interno delle reti enterprise.

Tra i tool osservati figurano ReverseSSH per il tunneling inverso, Chisel come proxy SOCKS e componenti personalizzati come AquaShell, una backdoor Python progettata per garantire controllo remoto continuo. In diversi casi sono stati individuati anche moduli per la pulizia selettiva delle tracce e per la disattivazione di controlli di sicurezza locali, a conferma di una campagna mirata e non opportunistica.

Cisco ha classificato CVE-2025-20393 con CVSS 10.0, sottolineando che non esistono workaround efficaci diversi dall’applicazione delle patch. Le versioni corrette includono, tra le altre, AsyncOS 15.0.5-016 per i rami 14.2 e precedenti. Dopo l’aggiornamento, l’azienda raccomanda di verificare e rimuovere eventuali meccanismi di persistenza, poiché la patch non elimina automaticamente le backdoor già installate.

Implicazioni operative per le aziende

L’impatto della vulnerabilità è particolarmente rilevante perché i Secure Email Gateway rappresentano un punto nevralgico del perimetro di sicurezza. Il loro compromesso consente non solo l’accesso ai flussi di posta, ma anche la manipolazione dei messaggi, la raccolta di credenziali e l’uso dell’appliance come pivot verso altri segmenti della rete.

Cisco ha invitato i clienti a rafforzare ulteriormente la postura di sicurezza, limitando l’esposizione delle interfacce di amministrazione, disabilitando l’accesso HTTP non necessario, imponendo autenticazione forte tramite SAML o LDAP e monitorando i log per indicatori di compromissione compatibili con gli IOCs pubblicati dal PSIRT. Nei casi più critici, è stato suggerito un re-imaging completo delle appliance coinvolte.

Vulnerabilità XSS nei prodotti di gestione Cisco

Parallelamente alla zero-day RCE, Cisco ha corretto anche più vulnerabilità XSS di tipo stored in diversi prodotti di gestione. CVE-2026-20075 colpisce Cisco EPNM e Prime Infrastructure, consentendo a un utente autenticato di iniettare script malevoli nelle interfacce web. Il punteggio CVSS 4.8 riflette una gravità inferiore rispetto alla RCE, ma l’impatto può includere furto di sessioni amministrative e accesso a informazioni sensibili nel browser.

Ulteriori difetti, CVE-2026-20076 e CVE-2026-20047, interessano Cisco Identity Services Engine, sempre con dinamiche di XSS stored che richiedono credenziali amministrative valide. Anche in questo caso non risultano sfruttamenti pubblici, ma Cisco ha rilasciato patch specifiche per le versioni supportate e ha ribadito l’importanza di mantenere aggiornate le console di gestione.

AWS CodeBuild e il rischio supply chain

Nel medesimo ciclo di disclosure, è emersa anche una misconfigurazione in AWS CodeBuild che ha esposto alcuni repository GitHub gestiti da AWS a potenziali attacchi di supply chain. La falla derivava dall’uso di regex non ancorate nei filtri dei webhook, consentendo il bypass dei controlli sugli actor ID autorizzati.

Amazon Web Services ha chiarito che il problema non riguardava il servizio CodeBuild in sé, ma configurazioni specifiche di progetto, e ha applicato i fix entro 48 ore dalla segnalazione, procedendo anche alla rotazione delle credenziali. Non sono stati rilevati sfruttamenti attivi, ma l’episodio evidenzia quanto errori di configurazione apparentemente minori possano avere effetti sistemici sulla catena di fornitura software.

WhisperPair e le minacce al Bluetooth consumer

A completare il quadro, ricercatori indipendenti hanno reso pubblica WhisperPair (CVE-2025-36911), una vulnerabilità che colpisce l’implementazione Fast Pair di numerosi dispositivi Bluetooth. Il difetto consente pairing forzato ed eavesdropping fino a 14 metri, senza interazione dell’utente, con potenziali impatti su privacy e tracciamento.

Produttori come Google, Sony e altri vendor hanno avviato la distribuzione di aggiornamenti firmware, sottolineando come la sicurezza wireless sia sempre più intrecciata con l’ecosistema mobile e IoT.

Un panorama di minacce in evoluzione

L’insieme di questi incidenti mostra un inizio 2026 caratterizzato da vulnerabilità ad alto impatto, che spaziano dalle appliance enterprise ai servizi cloud fino ai dispositivi consumer. La zero-day RCE di Cisco dimostra ancora una volta come APT statali continuino a investire su superfici esposte e infrastrutture critiche, mentre i casi AWS e Bluetooth evidenziano che misconfigurazioni e implementazioni errate possono essere altrettanto pericolose di un bug nel codice.

Per le organizzazioni, il messaggio è chiaro: patch tempestive, hardening continuo e monitoraggio dei log non sono più pratiche opzionali, ma condizioni minime per ridurre l’esposizione in un contesto di minacce sempre più sofisticate.

Domande frequenti sulla zero-day Cisco Secure Email Gateway

Che cos’è CVE-2025-20393 e perché è critica?

È una vulnerabilità zero-day che consente esecuzione remota di comandi con privilegi root sui Cisco Secure Email Gateway, con impatto massimo sulla sicurezza delle reti enterprise.

Chi ha sfruttato la vulnerabilità?

Cisco attribuisce lo sfruttamento a un attore APT collegato alla Cina, identificato come UAT-9686, attivo dalla fine di novembre 2025.

Esistono workaround senza applicare la patch?

No. Cisco ha chiarito che non esistono mitigazioni efficaci diverse dall’aggiornamento alle versioni corrette di AsyncOS.

Le vulnerabilità XSS nei prodotti Cisco sono state sfruttate?

Al momento non risultano sfruttamenti pubblici, ma Cisco raccomanda di applicare comunque le patch per evitare rischi di compromissione delle interfacce di gestione.

Perché il caso AWS CodeBuild è rilevante per la sicurezza?

Mostra come una semplice misconfigurazione possa esporre repository critici a attacchi supply chain, anche in ambienti cloud altamente controllati.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.