Cisco Akhirnya Tambal Zero-Day AsyncOS yang Dieksploitasi Sejak November

Cisco akhirnya merilis perbaikan keamanan untuk kerentanan zero-day dengan tingkat keparahan maksimum pada Cisco AsyncOS yang telah dieksploitasi secara aktif sejak November 2025. Celah ini digunakan dalam serangan terhadap perangkat Secure Email Gateway (SEG) dan Secure Email and Web Manager (SEWM) milik Cisco.

Kerentanan yang dilacak sebagai CVE-2025-20393 pertama kali diungkapkan Cisco pada Desember 2025. Menurut perusahaan, celah ini hanya berdampak pada perangkat SEG dan SEWM dengan konfigurasi non-standar, khususnya ketika fitur Spam Quarantine diaktifkan dan dapat diakses langsung dari internet.

Dalam penjelasan resminya, Cisco menyebut bahwa kerentanan validasi input yang tidak tepat pada AsyncOS memungkinkan pelaku ancaman mengeksekusi perintah arbitrer dengan hak akses root pada sistem operasi dasar perangkat yang terdampak. Kondisi ini memberikan kontrol penuh atas perangkat keamanan email yang seharusnya berfungsi sebagai garis pertahanan utama organisasi.

Cisco telah menyediakan panduan teknis lengkap untuk memperbarui perangkat yang rentan ke versi perangkat lunak yang telah diperbaiki melalui buletin keamanan resminya. Perusahaan menekankan pentingnya pembaruan segera, mengingat celah ini telah digunakan secara aktif dalam serangan nyata.

Tim intelijen ancaman Cisco Talos menilai bahwa serangan yang mengeksploitasi celah ini kemungkinan besar dilakukan oleh kelompok peretas asal Tiongkok yang mereka lacak sebagai UAT-9686. Dalam proses investigasi, Talos mengamati pelaku ancaman menanamkan backdoor persisten bernama AquaShell, serta menggunakan alat tambahan seperti AquaTunnel dan Chisel untuk membuat terowongan reverse-SSH. Selain itu, mereka juga menggunakan AquaPurge untuk menghapus log dan jejak aktivitas berbahaya.

Beberapa alat yang digunakan dalam kampanye ini sebelumnya juga dikaitkan dengan kelompok ancaman tingkat lanjut lain yang didukung negara, termasuk APT41 dan UNC5174. Cisco Talos menyatakan dengan tingkat keyakinan moderat bahwa UAT-9686 merupakan aktor advanced persistent threat (APT) dengan keterkaitan kuat ke ekosistem ancaman siber Tiongkok, dilihat dari kesamaan alat, teknik, dan infrastruktur yang digunakan.

Keseriusan celah ini juga mendapat perhatian dari otoritas keamanan siber Amerika Serikat. CISA menambahkan CVE-2025-20393 ke dalam katalog Known Exploited Vulnerabilities pada 17 Desember 2025. Melalui mandat Binding Operational Directive (BOD) 22-01, lembaga federal diperintahkan untuk mengamankan sistem mereka sesuai panduan Cisco paling lambat 24 Desember 2025.

CISA menegaskan bahwa kerentanan seperti ini kerap menjadi vektor serangan utama bagi pelaku kejahatan siber dan menimbulkan risiko signifikan bagi infrastruktur pemerintah. Organisasi yang menggunakan produk Cisco yang terpapar diminta untuk segera menilai potensi kompromi, memeriksa tanda-tanda intrusi, dan menerapkan mitigasi akhir yang disediakan vendor tanpa penundaan.

Perbaikan ini menutup salah satu celah paling berbahaya di ekosistem keamanan email Cisco dalam beberapa tahun terakhir, sekaligus menjadi pengingat bahwa perangkat keamanan pun dapat menjadi target bernilai tinggi bagi aktor ancaman tingkat negara jika tidak dikonfigurasi dan diperbarui dengan benar.