Cisco AsyncOS: Kritische 0-Day-Schwachstelle
Eine schwerwiegende Schwachstelle in Cisco-basierten Secure-Email-Lösungen kann bei aktiver Ausnutzung zur vollständigen Kompromittierung betroffener Systeme führen. Angreifbar sind Umgebungen, in denen entsprechende Produkte auf Basis der AsyncOS-Software eingesetzt werden.
Cisco: Secure Email-Lösungen werden aktiv angegriffen
Cisco und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen vor aktiven Cyberangriffen auf Cisco-Produkte, die auf der AsyncOS-Software basieren. Betroffen sind insbesondere Cisco Secure Email Gateway sowie Cisco Secure Email and Web Manager (vormals Cisco Content Security Management Appliance). Hintergrund ist eine bislang ungepatchte 0-Day-Schwachstelle, die mit dem maximalen CVSS-Score von 10.0 bewertet wurde.
Am 17. Dezember 2025 veröffentlichte Cisco einen Sicherheitshinweis zu laufenden Angriffen auf diese Produkte. Bereits am 10. Dezember 2025 hatte das Unternehmen Hinweise auf eine gezielte Angriffskampagne erhalten, die sich gegen eine begrenzte Anzahl exponierter Systeme richtete. Nach Angaben des BSI konnten entsprechende Aktivitäten mindestens seit November 2025 nachgewiesen werden. Das BSI hat hierzu eine offizielle Warnmeldung mit der Einstufung TLP: CLEAR und der Warnstufe Gelb veröffentlicht.
Ausführung von Befehlen mit Root-Rechten möglich
Die Schwachstelle ermöglicht es entfernten Angreifern, beliebige Befehle mit Root-Rechten auf dem zugrunde liegenden Betriebssystem der betroffenen Geräte auszuführen. Damit besteht die Möglichkeit einer vollständigen Systemkompromittierung.
Nach Angaben des BSI nutzen die Angreifer die Schwachstelle nicht nur zur initialen Kompromittierung. In den bislang analysierten Fällen kamen mehrere spezialisierte Schadwerkzeuge zum Einsatz, unter anderem Backdoors, Werkzeuge zur Manipulation von Protokolldaten sowie Tunnel-Software zur verdeckten Kommunikation.
Eine kompromittierte E-Mail-Infrastruktur kann in der Folge nicht nur zur Informationsgewinnung missbraucht werden, sondern auch als Ausgangspunkt für weiterführende Angriffe dienen, etwa zur Verteilung von Phishing-Nachrichten oder zur Störung betrieblicher Abläufe. Aufgrund der maximalen Kritikalität der Schwachstelle und des bislang fehlenden Sicherheitsupdates ist laut dem BSI davon auszugehen, dass weitere Akteure versuchen werden, verwundbare Systeme auszunutzen.
Voraussetzung für eine erfolgreiche Ausnutzung ist, dass das Spam-Quarantine-Feature aktiviert und aus dem Internet erreichbar ist. Diese Konstellation entspricht laut BSI zwar nicht der Standardkonfiguration, kann jedoch in individuell angepassten Umgebungen vorliegen.
Hinweise auf gezielte, persistente Angriffe
Im Rahmen der beobachteten Vorfälle stellten Cisco und das Threat-Intelligence-Team Talos fest, dass Angreifer die Schwachstelle gezielt nutzen, um dauerhaften Zugriff auf kompromittierte Systeme zu erlangen. In mehreren Fällen wurden nachgelagert unterschiedliche Schadprogramme eingesetzt. Cisco Talos ordnet die Aktivitäten derzeit der mutmaßlich chinesischen APT-Gruppe UAT-9686 zu.
- Prüfung betroffener Systeme, insbesondere ob Cisco Secure Email Gateway oder Cisco Secure Email and Web Manager mit aktiviertem und extern erreichbarem Spam-Quarantine-Feature betrieben werden.
- Einschränkung der externen Erreichbarkeit sicherheitskritischer Funktionen sowie temporäre Deaktivierung nicht zwingend benötigter Dienste.
- Erhöhte Überwachung der Systeme auf Anzeichen einer Kompromittierung und regelmäßige Auswertung von Log- und Sicherheitsereignissen, bis ein offizieller Patch verfügbar ist.