Cisco lukker kritisk sårbarhed under aktiv udnyttelse

Cisco har endelig - og langt om længe, vil nogen sige - frigivet en sikkerhedsopdatering til en kritisk sårbarhed i AsyncOS, som har været under aktiv angreb i flere uger. Fejlen, der har id’et EUVD-2025-203911 / CVE-2025-20393, rammer Secure Email Gateway (SEG) og Secure Email and Web Manager (SEWM) appliances.

Det skriver The Register

Cisco blev opmærksom på angreb mod de berørte systemer allerede den 10. december 2025, men sårbarheden blev først offentliggjort den 17. december. Ifølge Cisco giver fejlen angribere mulighed for at eksekvere vilkårlige kommandoer med root-rettigheder på det underliggende operativsystem.

Efterfølgende analyser afslørede, at trusselsaktører har implementeret persistensmekanismer, hvilket betyder, at kompromitterede enheder kunne forblive under angribernes kontrol, selv efter genstart.

Ciscos trusselsanalyse-enhed, Talos, har tilskrevet angrebene til UAT-9686, en statsstøttet gruppe med tilknytning til Kina. Angrebene har ifølge Talos stået på siden slutningen af november 2025 – altså længe før offentliggørelsen af sårbarheden.

Opdateringen er klar – men skaden kan være sket

Den længe ventede opdatering blev frigivet torsdag, og Cisco oplyser, at den ikke kun lukker sårbarheden, men også fjerner eventuelle persistensmekanismer, som måtte være installeret under angrebene. Virksomheden opfordrer kraftigt alle berørte kunder til at opgradere til den nyeste version af AsyncOS og kontakte Cisco Technical Assistance Center ved behov.

Cisco har ikke oplyst, hvor mange appliances der er kompromitteret, men med angreb i gang i over en måned er det sandsynligt, at omfanget er betydeligt.

CVSS-scoren blev ved offentliggørelsen sat til 10, EPSS-scoren er pt. 7,28 pct.