核心威脅事件摘要與漏洞定義

在當前高度對抗的網路安全環境中，基礎設施層級的零日漏洞已成為進階持續性威脅（APT）組織的首選目標。思科今天警告客戶，思科 AsyncOS 存在一個未修補的最高嚴重性零日漏洞，該漏洞已被積極用於攻擊安全電子郵件網關 (SEG) 和安全電子郵件和 Web 管理器 (SEWM) 設備。這個尚未修復的零日漏洞（CVE-2025-20393）僅影響配置非標準的 Cisco SEG 和 Cisco SEWM 設備，當啟用垃圾郵件隔離功能並將其暴露在網路上時，就會受到影響。

此漏洞之所以被定義為「最高嚴重性」，是因為它允許遠端攻擊者在不具備憑證的情況下，透過特定的網路請求取得系統控制權。對於依賴電子郵件作為核心溝通管道的企業而言，安全電子郵件網關一旦淪陷，不僅意味著機密溝通內容外洩，更可能成為駭客進入內網的戰略跳板。

威脅行為者 UAT-9686 攻擊戰術與惡意工具分析

根據思科威脅情報團隊的追蹤，此次攻擊具有明顯的國家級技術特徵。思科威脅情報研究團隊 Talos 認為，一個名為 UAT-9686 的中國威脅組織利用此安全漏洞發起攻擊，以 root 用戶身份執行任意命令，並部署 AquaShell 持久後門、AquaTunnel 和 Chisel 反向 SSH 隧道惡意軟體植入程序，以及名為 AquaPurge 的日誌清除工具。入侵指標可在此 GitHub 程式碼庫中找到。

Cisco Talos在周三發布的一份公告中表示：我們以中等程度的信心評估認為，我們正在追踪的對手（編號為 UAT-9686）是一個與中國有關聯的高級持續性威脅 (APT) 組織，其工具使用和基礎設施與其他中國威脅組織一致。該組織所使用的 Aqua 系列工具鏈顯示了其高度的客製化能力：AquaShell 提供了隱蔽的命令執行介面，AquaTunnel 則負責建立加密的數據外傳通道，而 AquaPurge 則能精準刪除系統日誌，使鑑識團隊難以追蹤攻擊軌跡。這種「邊攻擊邊清理」的手法，極大地延長了攻擊者的在線潛伏時間。

漏洞觸發條件與受影響配置解析

CVE-2025-20393 漏洞的觸發並非源於設備的預設狀態，而是特定的配置組合。研究發現，當管理員為了便利性而啟用了「垃圾郵件隔離（Spam Quarantine）」功能，並將其管理端口或 Web 介面直接暴露於網際網路時，漏洞即處於可被利用狀態。

攻擊者利用的是 AsyncOS 處理 Web 請求時的過濾機制缺陷。在 root 權限下執行的特性，使得攻擊者能夠越過作業系統的所有權限控制，直接對硬體層級進行操作。這對於維護網路物理安全（Cyber-Physical Security）的組織來說，是一個極大的安全威脅，因為 SEG 設備通常位於內外網交換的關鍵節點。

官方緩解策略與存取控制建議

在安全性更新釋出前的空窗期，實施補償性控制措施是唯一的保護手段。儘管思科尚未發布安全性更新來修復這個零日漏洞，但該公司建議管理員採取措施保護並限制對易受攻擊設備的存取。建議包括限制網路存取、限制與受信任主機的連接，以及將設備置於防火牆後以過濾流量。管理員還應將郵件處理和管理功能分開，監控網路日誌中的異常活動，並保留日誌以進行調查。

透過物理或邏輯上的隔離，可以大幅降低漏洞被遠端掃描發現的機率。特別是「郵件處理」與「行政管理」介面的分離（Control Plane and Data Plane Separation），能確保即便郵件數據流受到衝擊，設備的管理核心仍能維持基本防禦能力。

深度防禦強化與身份驗證升級

除了緊急的網路隔離，長期的安全性強化需要從身分與存取管理（IAM）著手。此外，建議停用不必要的服務，使系統保持最新 Cisco AsyncOS 軟體，實施 SAML 或 LDAP 等強式身分驗證方法，變更預設密碼，並使用 SSL 或 TLS 憑證來保護管理流量。

強式身份驗證可以防止攻擊者利用竊取來的憑證進行橫向移動，而 SSL/TLS 加密則能防止管理流量在傳輸過程中被中間人（MITM）攔截。對於 UAT-9686 這種擅長利用網路基礎設施漏洞的 APT 組織而言，任何未經加密的管理流量都可能成為其獲取系統資訊的來源。

災後恢復與事件響應（IR）作業流程

如果設備已被確認暴露於網路上，則必須採取最嚴格的清理措施。思科警告說：如果發現某個設備的 Web 管理介面或垃圾郵件隔離端口暴露在互聯網上且可從互聯網訪問，思科強烈建議盡可能按照多步驟流程將該設備恢復到安全配置。如果無法恢復設備，思科建議聯繫技術支援中心 (TAC) 檢查設備是否已被入侵。如果確認設備已被入侵，目前唯一可行的辦法是重建設備，以徹底清除威脅行為者在設備中的持久化機制。

所謂「重建設備」，意指必須將硬體還原至出廠狀態，重新安裝受信任的作業系統映像檔，而非僅僅是修改密碼或刪除異常文件。這是因為 AquaShell 等惡意軟體通常具備修改內核或建立隱藏磁區的能力，一般的清理手段無法保證威脅已完全移除。

面對邊緣設備零日攻擊的長遠布局

Cisco AsyncOS 零日漏洞事件再次凸顯了邊緣安全設備（Edge Security Appliances）作為防禦薄弱點的現狀。由於這些設備往往需要直接面對網際網路，其內置系統的安全性直接決定了企業的資安邊界。

台灣應用軟件建議，企業應建立「零信任」架構，即便對於防火牆與郵件網關等安全設備，也不應預設其為絕對安全。透過持續的日誌監控、定期的弱點掃描以及嚴格的存取控制政策，方能在零日漏洞頻發的時代，建立起具備韌性的防禦體系。對於使用 Cisco SEG/SEWM 的用戶，應立即清查設備暴露情況，並與官方 TAC 保持密切聯繫，直到修補程式正式釋出。