Cisco Peringatkan Zero-Day AsyncOS yang Belum Ditambal dan Aktif Dieksploitasi

Cisco mengeluarkan peringatan keamanan terkait celah zero-day dengan tingkat keparahan maksimum pada Cisco AsyncOS yang saat ini belum tersedia patch dan telah dieksploitasi secara aktif dalam serangan siber. Kerentanan ini menargetkan perangkat Secure Email Gateway (SEG) serta Secure Email and Web Manager (SEWM) milik Cisco.

Celah keamanan yang terdaftar sebagai CVE-2025-20393 ini hanya berdampak pada perangkat SEG dan SEWM dengan konfigurasi non-standar, khususnya ketika fitur Spam Quarantine diaktifkan dan dapat diakses langsung dari internet. Kondisi tersebut membuka peluang bagi penyerang untuk mengeksploitasi sistem tanpa hambatan berarti.

Tim riset intelijen ancaman Cisco Talos meyakini bahwa serangan ini dilakukan oleh kelompok peretas asal Tiongkok yang dilacak dengan kode UAT-9686. Kelompok ini memanfaatkan celah AsyncOS untuk mengeksekusi perintah arbitrer dengan hak akses root, sekaligus menanamkan backdoor persisten bernama AquaShell. Selain itu, penyerang juga menyebarkan malware AquaTunnel dan Chisel yang berfungsi sebagai reverse SSH tunnel, serta alat pembersih log bernama AquaPurge untuk menghilangkan jejak aktivitas.

Sejumlah alat berbahaya yang digunakan dalam kampanye ini, termasuk AquaTunnel, sebelumnya juga dikaitkan dengan kelompok peretas lain yang didukung negara, seperti UNC5174 dan APT41. Cisco Talos menilai dengan tingkat keyakinan menengah bahwa UAT-9686 merupakan aktor advanced persistent threat yang memiliki kesamaan infrastruktur dan pola penggunaan alat dengan kelompok ancaman asal Tiongkok lainnya.

Cisco mengungkap bahwa aktivitas berbahaya ini terdeteksi pada 10 Desember, namun indikasi menunjukkan kampanye tersebut telah berlangsung setidaknya sejak akhir November 2025. Hingga saat ini, Cisco belum merilis pembaruan keamanan resmi untuk menutup celah zero-day tersebut.

Sebagai langkah mitigasi sementara, Cisco menyarankan administrator untuk segera membatasi dan mengamankan akses ke perangkat yang rentan. Langkah-langkah yang direkomendasikan mencakup pembatasan akses internet, hanya mengizinkan koneksi dari host tepercaya, serta menempatkan perangkat di balik firewall untuk memfilter lalu lintas jaringan.

Administrator juga disarankan memisahkan fungsi pengelolaan email dan manajemen sistem, memantau log web untuk mendeteksi aktivitas tidak wajar, serta menyimpan log guna keperluan investigasi. Selain itu, menonaktifkan layanan yang tidak diperlukan, memperbarui sistem ke versi Cisco AsyncOS terbaru, menerapkan autentikasi kuat seperti SAML atau LDAP, mengganti kata sandi bawaan, dan mengamankan lalu lintas manajemen menggunakan sertifikat SSL atau TLS menjadi langkah penting yang perlu segera dilakukan.

Cisco meminta pelanggan yang ingin memastikan apakah perangkat mereka telah dikompromikan untuk membuka tiket ke Cisco Technical Assistance Center. Perusahaan juga menegaskan pentingnya mengikuti seluruh panduan mitigasi yang tercantum dalam advisori keamanan terbaru.