Cisco warnt vor einer laufenden Angriffskampagne gegen Cisco Secure Email Gateway sowie Cisco Secure Email and Web Manager. Betroffen sind Appliances, auf denen Cisco AsyncOS läuft und bei denen die Spam-Quarantine-Funktion aktiviert und aus dem Internet erreichbar ist. Die Schwachstelle wird unter CVE-2025-20393 geführt und erreicht mit einem CVSS-Score von 10.0 die höchste Kritikalitätsstufe.
Angreifer können über die verwundbare Konfiguration beliebige Kommandos mit Root-Rechten auf dem zugrunde liegenden Betriebssystem ausführen. Laut Cisco wurden auf kompromittierten Systemen zudem Persistenzmechanismen installiert, die den Angreifern dauerhaften Zugriff ermöglichen. Die Angriffe wurden erstmals am 10. Dezember 2025 im Rahmen eines Support-Falls entdeckt.
Alle Versionen von Cisco AsyncOS sind grundsätzlich betroffen, sofern die Spam-Quarantine-Funktion öffentlich exponiert ist. Cisco Secure Email Cloud ist nach aktuellem Stand nicht verwundbar. Workarounds stehen nicht zur Verfügung. Bei bestätigter Kompromittierung bleibt derzeit nur der vollständige Neuaufbau der Appliance, um die Persistenz der Angreifer zu entfernen.
Cisco empfiehlt dringend, betroffene Systeme vom Internet abzuschotten, den Zugriff strikt zu beschränken und die Konfiguration zu überprüfen. Kunden mit Verdacht auf eine Kompromittierung sollen umgehend ein TAC-Ticket eröffnen.
