CISA verplicht Amerikaanse overheid om kritiek Cisco-lek binnen week te mitigeren

In dit artikel:

CISA heeft Amerikaanse overheidsinstanties gedwongen binnen één week mitigaties door te voeren voor een kritieke kwetsbaarheid (CVE-2025-20393) in Cisco Secure Email Gateway en Cisco Secure Email & Web Manager. Er is nog geen patch beschikbaar; Cisco waarschuwde recent in een bulletin nadat het misbruik op 10 december ontdekte — maar aanvallen zouden al sinds eind november plaatsvinden. De kwetsbaarheid kreeg een maximale ernstscore van 10.0 omdat een ongeauthenticeerde aanvaller hiermee willekeurige commando’s als root op het onderliggende systeem kan uitvoeren.

Misbruik vereist dat de appliance de Spam Quarantine‑functie heeft ingeschakeld en dat die functie vanaf internet bereikbaar is (standaard uitgeschakeld). Gecompromitteerde systemen worden voorzien van een backdoor en extra tools: software om woorden uit logs te verwijderen, een tool voor een reverse‑SSH‑verbinding en een open‑source tunneling‑tool. Volgens Cisco is het persistence‑mechanisme zo hardnekkig dat volledig herbouwen van de appliance de enige betrouwbare hersteloptie is.

Cisco raadt onder meer aan de Spam Quarantine‑poort niet publiek bereikbaar te maken. CISA verkortte de gebruikelijke driewekentermijn naar één week vanwege het actieve misbruik. Onderzoekers zoals Kevin Beaumont roepen Cisco op tot meer openheid: publicatie van Indicators of Compromise, exacte tijdstippen van eerste misbruik en informatie over welke poorten aanvallers benutten.