全球電子郵件安全基礎設施面臨之嚴峻威脅
在現今高度數位化的企業環境中,電子郵件安全網關(Email Security Gateway, ESG)是阻擋惡意攻擊的第一道防線。然而,當防禦設施本身存在漏洞時,企業面臨的風險將成倍增長。近期,思科(Cisco)針對其 AsyncOS 作業系統發布了關鍵安全更新,解決了編號為 CVE-2025-20393 的嚴重漏洞。此漏洞的特殊之處在於其「零日攻擊」性質,且在官方正式釋出補丁前,已被具備國家級背景的攻擊者大規模利用。
CVE-2025-20393 漏洞成因與技術原理剖析
思科終於發布了其電子郵件安全網關和安全電子郵件及 Web 管理器設備的安全更新,修復了 CVE-2025-20393,這是這些設備 AsyncOS 中的一個漏洞,自 2025 年 11 月下旬以來,疑似中國攻擊者一直利用該漏洞進行零日攻擊。該公司於 2025 年 12 月 17 日披露了該漏洞的存在及其在實際應用中的利用情況,並敦促客戶檢查他們的設備是否已被入侵,如果確認已被入侵,則應進行重建。
思科解釋說:CVE-2025-20393 漏洞是由於垃圾郵件隔離功能對 HTTP 請求的驗證不足造成的,攻擊者可以通過向受影響的設備發送精心構造的 HTTP 請求來利用此漏洞。這種攻擊允許未經身份驗證的威脅行為者在受影響設備的底層作業系統上以 root 權限執行任意命令。這種遠端代碼執行(RCE)能力,使攻擊者能徹底接管受影響的硬體或虛擬化設備,繞過所有安全過濾機制。
攻擊者手法與客製化惡意工具鏈分析
根據威脅情報顯示,此波攻擊行動展現了極高的專業度與針對性。Cisco Talos 研究人員發現,攻擊者在「部分裝置」上安裝了客製化的 Python 後門 (AquaShell)、日誌清除工具 (AquaPurge)、反向 SSH 後門 (AquaTunnel) 和用於代理流量的開源隧道工具 (Chisel)。
這套工具鏈反映了典型的高級持續性威脅(APT)特徵:
政府監管機構之應對與強制性指導
鑑於此漏洞對國家級基礎設施與商業機密的巨大威脅,各國資安機構紛紛發出警示。2025 年 12 月,美國網路安全和基礎設施安全局(CISA)將該漏洞添加到其已知利用漏洞目錄中,並命令美國聯邦民事機構使用思科提供的緩解措施來解決 CVE-2025-20393 漏洞。這一舉措凸顯了該漏洞在國家安全層級的緊迫性,要求組織不僅要修補,更要積極進行損害評估。
企業系統升級與設備重建之關鍵建議
現在,這些機構以及其他思科客戶必須套用新發布的安全性更新。Cisco 電子郵件安全閘道設備應升級至 AsyncOS v15.0.5-016 或更高版本、15.5.4-012 或更高版本,或 16.0.4-016 或更高版本。安全電子郵件和 Web 管理器設備應升級至 AsyncOS v15.0.2-007 或更高版本、15.5.4-007 或更高版本,或 16.0.4-010 或更高版本。
除了單純的軟體升級,對於疑似已遭入侵的設備,單靠更新補丁已不足以保證安全性。由於攻擊者具備 root 權限並部署了持久化後門,企業必須遵循「零信任」原則,對受損設備進行完整的系統重建。這包括備份必要配置(需過濾惡意腳本)、抹除儲存裝置,並從可信來源重新安裝作業系統。
從零日攻擊省思供應鏈安全與縱深防禦
CVE-2025-20393 事件再次提醒我們,即便是最頂尖的資安產品也可能成為攻擊目標。企業在部署安全解決方案時,應建立「縱深防禦」體系。首先,嚴格限制管理介面(如垃圾郵件隔離區)的存取權限,僅允許來自受信任 IP 的存取。其次,強化端點與網路流量監控,及時偵測異常的 SSH 或隧道流量。最後,保持資安情資的即時同步,在漏洞披露初期即採取緩解措施,縮短暴露視窗。
在此建議各界,應立即盤點內部思科設備版本,並參照上述規範完成升級。在高度地緣政治影響下的資安環境中,預防與快速響應是保護數位資產的唯一途徑。
資料來源:https://www.helpnetsecurity.com/2026/01/16/cisco-fixes-asyncos-vulnerability-exploited-in-zero-day-attacks-cve-2025-20393/