Aktive Angriffe auf Cisco Secure Email Gateway mit Root-RCE entdeckt

Cisco warnt vor einer laufenden Angriffskampagne gegen Cisco Secure Email Gateway sowie Cisco Secure Email and Web Manager. Betroffen sind Appliances, auf denen Cisco AsyncOS läuft und bei denen die Spam-Quarantine-Funktion aktiviert und aus dem Internet erreichbar ist. Die Schwachstelle wird unter CVE-2025-20393 geführt und erreicht mit einem CVSS-Score von 10.0 die höchste Kritikalitätsstufe.

Angreifer können über die verwundbare Konfiguration beliebige Kommandos mit Root-Rechten auf dem zugrunde liegenden Betriebssystem ausführen. Laut Cisco wurden auf kompromittierten Systemen zudem Persistenzmechanismen installiert, die den Angreifern dauerhaften Zugriff ermöglichen. Die Angriffe wurden erstmals am 10. Dezember 2025 im Rahmen eines Support-Falls entdeckt.

Alle Versionen von Cisco AsyncOS sind grundsätzlich betroffen, sofern die Spam-Quarantine-Funktion öffentlich exponiert ist. Cisco Secure Email Cloud ist nach aktuellem Stand nicht verwundbar. Workarounds stehen nicht zur Verfügung. Bei bestätigter Kompromittierung bleibt derzeit nur der vollständige Neuaufbau der Appliance, um die Persistenz der Angreifer zu entfernen.

Cisco empfiehlt dringend, betroffene Systeme vom Internet abzuschotten, den Zugriff strikt zu beschränken und die Konfiguration zu überprüfen. Kunden mit Verdacht auf eine Kompromittierung sollen umgehend ein TAC-Ticket eröffnen.

Related Posts

n8n: Mehrere kritische RCE-Schwachstellen ermöglichen vollständige Systemübernahme

In der Workflow-Automatisierungsplattform n8n sind mehrere schwerwiegende Sicherheitslücken entdeckt worden, die es authentifizierten Angreifern erlauben, beliebigen Code auf dem Server auszuführen. Die Schwachstellen betreffen sowohl selbst gehostete n8n-Instanzen als auch n8n Cloud und werden insgesamt als kritisch eingestuft.

Read More

APT-Gruppe UAT-7290 greift Edge- und Netzwerkgeräte zu Spionagezwecken an

Cisco Talos warnt vor einer hochentwickelten Bedrohungsgruppe mit der Bezeichnung UAT-7290, die seit mindestens 2022 aktiv ist und gezielt Telekommunikationsinfrastrukturen in Südasien angreift. In den vergangenen Monaten wurde zudem eine Ausweitung der Aktivitäten auf Südosteuropa beobachtet. Talos stuft die Gruppe mit hoher Sicherheit als China-nahen Advanced Persistent Threat ein.

Read More

NordVPN weist Vorwürfe zu angeblichem Salesforce-Datenleck zurück

NordVPN hat Berichte über einen angeblichen Zugriff auf einen internen Salesforce-Entwicklungsserver zurückgewiesen. Auslöser war ein Datendump in einem Hackerforum, in dem ein Angreifer behauptete, Systeme des VPN-Anbieters kompromittiert zu haben. Nach einer ersten forensischen Analyse sieht NordVPN jedoch keine Hinweise auf einen Einbruch in eigene Server oder die Produktionsinfrastruktur.

Read More