A Cisco divulgou uma correção de emergência para uma falha crítica de segurança em sua solução Secure Email Gateway, após descobrir que o problema estava sendo ativamente explorado por um grupo de hackers com ligações à China. A vulnerabilidade, catalogada como CVE‑2025‑20393, permite execução remota de código com privilégios elevados e recebeu a pontuação máxima de 10.0 no CVSS. O problema afeta diretamente o software AsyncOS, utilizado tanto no Cisco Secure Email quanto no Cisco Secure Email and Web Manager.
A falha está relacionada a um componente de quarentena de spam que, se exposto à internet, pode ser explorado por atacantes sem necessidade de autenticação. Segundo a Cisco, o grupo responsável pelos ataques foi identificado como UAT‑9686, que teria iniciado a campanha de exploração ainda em novembro de 2025. Os cibercriminosos implantaram backdoors escritos em Python, além de ferramentas para manter acesso persistente e ocultar suas ações nos dispositivos comprometidos.
A vulnerabilidade permite que o invasor assuma o controle completo do appliance de e-mail, o que representa um risco significativo para empresas, já que esses sistemas são frequentemente usados como barreiras de proteção contra phishing, malware e spam em ambientes corporativos. Com a publicação da atualização de segurança, a Cisco orienta os administradores a aplicarem imediatamente o patch disponibilizado, além de revisar configurações expostas e reforçar controles de acesso aos sistemas. A empresa também recomenda monitoramento proativo, uso de firewalls e verificação de comportamentos anômalos nos dispositivos afetados. Embora não haja informações detalhadas sobre o número total de organizações atingidas, a falha foi considerada extremamente grave devido à sua exploração ativa por um grupo com perfil avançado.
