网络边缘设备仍然是复杂国家背景攻击者的主要目标,他们旨在绕过传统边界防御。最近的披露显示,思科安全邮件网关(SEG)和安全管理器(SMA)设备中的一个关键零日漏洞正被疑似中国的威胁组织利用,以在高价值网络内部建立深度持久性。
此次活动的核心是归因于代号为 UAT-9686 威胁集群的高度复杂的间谍活动。通过利用思科 AsyncOS 垃圾邮件隔离界面中的关键缺陷,这些攻击者部署了一套定制恶意软件套装,包括 AquaShell 恶意软件,以维持长期根权限访问并渗透到内部网络。
UAT-9686 行动背景
UAT-9686 是一个疑似受中国国家支持的威胁组织,有攻击网络基础设施和边缘设备的历史。与以经济利益为目的的网络犯罪不同,UAT-9686 的行动特点是:
- 零日发现: 能够识别并武器化专有网络设备中的未知漏洞。
- 定制工具: 开发针对思科 AsyncOS 等特定操作系统的专用恶意软件(AquaShell, AquaPurge)。
- 隐蔽与反取证: 高度重视日志操纵和“离地生存”技术以逃避检测。
- 深度持久性: 建立能够经受重启和标准安全扫描的据点。
在此次特定活动中,该组织专注于绕过垃圾邮件隔离功能中的认证机制,以获得对邮件安全设备的根级控制,从而将安全工具转变为间谍平台。
活动概览
UAT-9686 的活动展示了其旨在破坏目标组织通信基础设施的系统性努力。
主要目标
- 电信和关键基础设施领域。
- 使用思科安全邮件网关(ESA)和安全邮件及网络管理器(SMA)的组织。
主要特征
- 通过 HTTP 数据包操纵利用垃圾邮件隔离界面(端口 6025)。
- 直接在设备上部署基于 Python 的恶意软件。
- 使用专用的“擦除”工具有选择地清除取证证据。
漏洞详情
该活动依赖于一个允许远程代码执行(RCE)并获得根权限的关键零日漏洞。
- 漏洞 ID: CVE-2025-20393
- 受影响产品: 思科 Secure Email Gateway 和思科 Secure Email and Web Manager 上版本包括 16.0.3-044 及更早的 Cisco AsyncOS 版本。
- CVSS 评分: 10.0(严重)
- EPSS 评分: 4.56%
感染方法
初始访问 攻击者针对思科设备管理界面上启用的垃圾邮件隔离功能。通过向暴露的服务(通常在端口 6025)发送特制的、未经认证的 HTTP POST 请求,攻击者触发了不当输入验证漏洞。
漏洞利用 成功利用该漏洞可为攻击者授予底层 AsyncOS 操作系统的根级权限。这使他们能够绕过通常可供管理员使用的受限 CLI,直接与操作系统 shell 交互。
有效载荷投递 获得根访问权限后,UAT-9686 部署了一套自定义 Python 脚本。由于 AsyncOS 默认包含 Python 解释器,这些脚本无需外部依赖即可原生执行,从而减少了取证痕迹。
执行与持久性 攻击者利用模块化恶意软件工具包来维持控制:
- AquaShell: 一种自定义 Python 恶意软件,充当被动监听器。它允许攻击者秘密执行任意系统命令。
- AquaTunnel: 一种旨在建立反向 SSH 隧道的工具,确保即使在设备位于防火墙之后也能维持持久远程访问。
- Chisel: 这种开源隧道工具通常与定制恶意软件一同部署,以促进流量路由和向内网横向移动。
防御规避 为避免检测,该组织部署了 AquaPurge,这是一种专门的日志擦除工具。AquaPurge 有选择地从系统日志中删除与攻击者活动相关的条目,同时保留合法的流量记录,从而使事件响应工作复杂化。
命令与控制(C2) 命令与控制通过被动监听恶意软件(AquaShell)实现,该软件避免发送心跳包;同时通过加密隧道(AquaTunnel/Chisel)通过 SSH 通道路由流量。
MITRE ATT&CK 技术
| 战术 | 技术 | 描述 |
|---|---|---|
| 初始访问 | T1190: 利用面向公众的应用 | 利用暴露的垃圾邮件隔离(端口 6025)。 |
| 权限提升 | T1068: 利用漏洞进行权限提升 | 利用 CVE-2025-20393 获取根权限。 |
| 执行 | T1059.006: Python 脚本 | 原生 Python 执行 AquaShell。 |
| 持久性 | T1572: 协议隧道 | 通过 AquaTunnel 建立反向 SSH 隧道。 |
| 防御规避 | T1070: 在主机上移除指示器 | AquaPurge 擦除日志和取证痕迹。 |
| 命令与控制 | T1105: 内传工具转移 | 将自定义脚本投放到设备上。 |
| 横向移动 | T1573: 加密通道 | Chisel 在内部网络隧道传输流量。 |
可视化攻击流程
互联网(攻击者) -> 端口 6025(垃圾邮件隔离漏洞利用) -> 根权限(AsyncOS) -> 投放 AquaShell/AquaPurge -> 日志擦除(反取证) -> 反向 SSH 隧道 -> 内网访问
缓解措施
鉴于该漏洞是作为零日漏洞被利用的,立即采取缓解措施至关重要。
- 禁用垃圾邮件隔离: 若非绝对必要,请立即在 ESA/SMA 设备上禁用垃圾邮件隔离功能。
- 限制访问(ACL): 如需保留此功能,请使用防火墙规则或访问控制列表(ACL)阻止从公共互联网访问端口 6025。确保只有受信任的内部管理 IP 可以访问此端口。
- 监控系统日志: 虽然 AquaPurge 试图擦除日志,但请注意查找日志中的空白间隙、意外的 Python 进程执行或从设备发起的未经授权的 SSH 连接。
- 隔离管理接口: 确保管理接口在物理或逻辑上与公共网络分离,并严格通过 VPN 网关访问。
立即使用 Saner 补丁管理修复风险
Saner 补丁管理是一种持续、自动化、集成的软件,可即时修复在野外被利用的风险。该软件支持 Windows、Linux 和 macOS 等主要操作系统,以及 550 多种第三方应用程序。
它还允许您建立一个安全测试区域,以便在部署到主要生产环境之前测试补丁。此外,Saner 补丁管理还支持补丁回滚功能,以防补丁失败或系统故障。
体验最快速、最准确的补丁软件。