思科邮件安全设备高危漏洞预警:攻击者可获得根权限并植入持久化后门

思科发布安全公告,披露其Secure Email Gateway和Secure Email and Web Manager设备正遭受网络攻击。攻击利用垃圾邮件隔离功能中的漏洞,可让威胁行为者以root权限执行任意命令并植入持久化控制机制。本文提供了详细的影响范围判断方法、加固建议及修复指引。

摘要

思科于2025年12月10日发现了一项针对运行Cisco AsyncOS软件的Secure Email Gateway和Secure Email and Web Manager设备的网络攻击活动。该攻击允许威胁行为者在受影响的设备底层操作系统上,以root权限执行任意命令。调查已发现威胁行为者植入了持久化机制,以维持对受入侵设备的控制。思科强烈建议客户遵循本公告“建议”部分的指导以评估风险并进行缓解。

受影响的产品

思科正在持续调查此攻击活动。随着调查的深入,思科将在获得更多信息后适时更新本公告。

受影响的产品

当同时满足以下两个条件时,此攻击活动会影响到Cisco Secure Email Gateway(物理和虚拟设备)以及Cisco Secure Email and Web Manager(物理和虚拟设备):

  1. 设备配置了“垃圾邮件隔离”功能。
  2. 垃圾邮件隔离功能暴露于互联网且可从互联网访问。

垃圾邮件隔离功能默认未启用。这些产品的部署指南均不要求将此端口直接暴露给互联网。 注意:所有版本的Cisco AsyncOS软件均受此攻击活动影响。

判断Cisco Secure Email Gateway设备是否启用了垃圾邮件隔离 要判断设备上是否配置并启用了垃圾邮件隔离功能,请连接至Web管理界面,并导航至以下菜单:网络 > IP接口 > [选择配置了垃圾邮件隔离的接口]。如果“垃圾邮件隔离”旁的复选框被勾选,则表示该功能已启用。

判断Cisco Secure Email and Web Manager设备是否启用了垃圾邮件隔离 要判断设备上是否配置并启用了垃圾邮件隔离功能,请连接至Web管理界面,并导航至以下菜单:管理设备 > 网络 > IP接口 > [选择配置了垃圾邮件隔离的接口]。如果“垃圾邮件隔离”旁的复选框被勾选,则表示该功能已启用。

确认不受影响的产品

只有本公告“受影响的产品”部分列出的产品已知受此攻击活动影响。 思科已确认,所有属于Cisco Secure Email Cloud的设备均不受影响。 思科目前未发现针对Cisco Secure Web的任何利用活动。

入侵指标

作为本公告所述的攻击活动的一部分,威胁行为者植入了一个持久性的隐蔽通道,用于远程访问受入侵的设备。 希望明确验证设备是否已被入侵的客户可以开设思科技术支持中心(TAC)案例。为加快我们对潜在入侵事件的调查,请确保在受影响的设备上启用了远程访问。更多指导,请参阅此技术说明。 无论如何,思科强烈建议遵循本公告“建议”部分列出的指导。

规避措施

目前没有可直接缓解此攻击活动风险的规避措施,但管理员可以查看并遵循本公告“建议”部分提供的指导。

建议

如果已确认某设备的Web管理界面或垃圾邮件隔离端口暴露于互联网且可从互联网访问,思科强烈建议在可能的情况下,遵循多步骤流程将设备恢复至安全配置。更多信息,请参阅本节末尾的“有用资源”。 如果无法恢复设备,思科建议联系TAC以检查设备是否已遭入侵。如果确认已遭入侵,目前,重建设备是从设备中根除威胁行为者持久化机制的唯一可行方案。 此外,思科强烈建议限制对设备的访问,并实施强大的访问控制机制,以确保端口不会暴露给不安全的网络。

常规加固建议

  • 阻止互联网访问设备:如果设备必须访问互联网,应将设备访问权限仅限制在用户指南中包含的端口/协议上,且仅限已知、可信的主机。
  • 使用防火墙等过滤设备进行保护:将Cisco Secure Email Gateway和Cisco Secure Email and Web Manager设备置于防火墙等过滤设备之后,并过滤进出设备的流量,同时仅允许已知、可信的主机向设备发送流量。使用双层防火墙可以为网络规划提供灵活性,使终端用户不直接连接到外部DMZ。请参阅Cisco Secure Email Gateway和Cisco Secure Email and Web Manager用户指南的“部署”部分。
  • 分离邮件和管理功能:对于Cisco Secure Email Gateway,将邮件和管理功能分离到不同的网络接口上。这降低了未经授权用户访问内部管理网络的机会。更多信息,请参阅设备用户指南。
  • 定期监控Web日志流量:监控进出设备的任何意外流量。日志应尽可能发送到外部服务器,并保留足够长的时间,以便能够使用充足的日志数据进行事后调查。
  • 禁用主管理员门户的HTTP
  • 禁用任何不需要的网络服务,包括HTTP和FTP。有关特定服务功能的更多信息,请参阅Cisco Secure Email Gateway和Cisco Secure Email and Web Manager用户指南。
  • 将设备升级至最新版本的Cisco AsyncOS软件
  • 对设备使用强力的终端用户认证方式,例如SAML或轻量级目录访问协议(LDAP)。关于更安全的认证方法,请参阅《终端用户访问垃圾邮件管理功能的认证选项》。
  • 更改默认管理员密码为更安全的变体。通过创建基于必要访问需求的用户帐户来限制对管理员帐户的访问。此外,为所有管理员创建操作员帐户。
  • 使用SSL/TLS,从证书颁发机构(CA)获取SSL证书或创建自签名证书。

有用资源

以下资源可帮助将受影响的设备恢复到安全状态。部分文档与特定产品相关,但操作步骤大多可以互换。如果客户对操作步骤有具体疑问,请联系TAC。 要下载替换的虚拟设备,请访问相关的思科软件下载页面:

  • Cisco Secure Email Gateway
  • Cisco Secure Email and Web Manager 有关从设备导出报告数据的信息,请参阅《处理报告》。 有关如何清除隔离区中消息的信息,请参阅《垃圾邮件隔离》。 更多信息,请参阅《集中策略、病毒和爆发隔离》。

漏洞利用与公开声明

2025年12月,思科产品安全事件响应团队(PSIRT)发现了针对Cisco Secure Email Gateway和Cisco Secure Email and Web Manager设备的潜在恶意活动。

来源

此攻击活动最初是在解决一个思科TAC支持案例时发现的。

思科安全漏洞政策

要了解思科安全漏洞披露政策和出版物,请参阅《安全漏洞政策》。该文档还包含获取已修复软件和接收思科安全漏洞信息的说明。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次