Cisco brengt een update uit nadat een ernstige bug in AsyncOS wekenlang is uitgebuit.
Na weken van actief misbruik heeft Cisco eindelijk een patch uitgebracht voor een zeer kritieke kwetsbaarheid in AsyncOS. De fout, CVE-2025-20393, werd voor het eerst bekendgemaakt op 17 december 2025 en heeft een CVSS-score van 10.0. Dat betekent dat het voor een extreem kritiek risico zorgt.
Wat was de kwetsbaarheid?
Het lek trof Cisco’s Secure Email Gateway (SEG) en Secure Email and Web Manager (SEWM)-apparaten die draaien op AsyncOS. In een beveiligingsadvies deelt Cisco dat kwaadwillenden systeemcommando’s uitvoeren op het getroffen apparaat door een fout in de verwerking van HTTP-verzoeken in de Spam Quarantine-functie.
Patch en aanbevelingen
Cisco heeft nu software updates uitgebracht die de kwetsbaarheid repareren en eventuele bestanden verwijderen die tijdens de aanvallen zijn geïnstalleerd. Het bedrijf raadt klanten dringend aan om deze updates zo snel mogelijk te installeren volgens de gedeelde richtlijnen.
Er zijn geen algemene oplossingen. De enige effectieve maatregel is het toepassen van de gepatchte AsyncOS-versies. Mocht een apparaat al zijn gecompromitteerd, kan het goed zijn om het systeem volledig te herstellen met Cisco-ondersteuning om achterdeurtjes veilig te verwijderen.