TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Cisco ออกประกาศเตือนช่องโหว่ Zero-day ระดับ Critical บน AsyncOS ที่ยังไม่มีแพตช์แก้ไข โดยพบว่าถูกแฮกเกอร์ใช้โจมตีอุปกรณ์ Secure Email Gateway (SEG) และ Secure Email and Web Manager (SEWM) จริงแล้ว
ช่องโหว่ดังกล่าวมีรหัส CVE-2025-20393 ส่งผลกระทบเฉพาะอุปกรณ์ Cisco SEG และ SEWM ที่มีการตั้งค่าไม่เป็นมาตรฐาน โดยเปิดใช้งาน Spam Quarantine feature และเปิดให้เข้าถึงได้จากอินเทอร์เน็ต ช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันคำสั่งด้วยสิทธิ์ root บนอุปกรณ์ได้
ทีม Cisco Talos ระบุว่ากลุ่มแฮกเกอร์จีนที่ถูกติดตามในชื่อ UAT-9686 อยู่เบื้องหลังการโจมตีครั้งนี้ โดยใช้ช่องโหว่ดังกล่าวติดตั้ง AquaShell backdoor รวมถึง malware อื่นๆ ได้แก่ AquaTunnel และ Chisel reverse SSH tunnel และเครื่องมือลบ log ชื่อ AquaPurge เครื่องมือเหล่านี้มีความเชื่อมโยงกับกลุ่ม APT จีนอื่นๆ เช่น UNC5174 และ APT41 โดย Cisco ตรวจพบการโจมตีเมื่อวันที่ 10 ธันวาคม แต่แคมเปญนี้เริ่มตั้งแต่ช่วงปลายเดือนพฤศจิกายน 2025
เนื่องจากยังไม่มีแพตช์แก้ไข Cisco แนะนำให้ผู้ดูแลระบบจำกัดการเข้าถึงอุปกรณ์จากอินเทอร์เน็ต อนุญาตการเชื่อมต่อเฉพาะ host ที่เชื่อถือได้ วางอุปกรณ์หลัง firewall แยก function การจัดการ mail และ management ออกจากกัน ตรวจสอบ web log อย่างใกล้ชิด และเก็บรักษา log ไว้สำหรับการสืบสวน นอกจากนี้ควรปิด service ที่ไม่จำเป็น อัปเดตซอฟต์แวร์ AsyncOS ให้เป็นเวอร์ชันล่าสุด ใช้ authentication แบบ SAML หรือ LDAP, เปลี่ยน default password และใช้ SSL/TLS certificate สำหรับการเข้าถึงระบบ management หากพบว่าอุปกรณ์ถูก compromise แล้ว การ rebuild อุปกรณ์ใหม่เป็นทางเลือกเดียวในขณะนี้ที่จะกำจัด persistence mechanism ของผู้โจมตีได้
