Cisco-Emailgateways: Staatliche Hacker nutzen kritische Lücke

Ein schwerer Angriff auf Ciscos E-Mail-Sicherheitssysteme ist im Gange. Da es noch keinen Patch gibt, müssen Unternehmen sofort handeln.

Ein Angreifer mit mutmaßlich staatlichem Hintergrund nutzt aktiv eine kritische Sicherheitslücke in Ciscos E-Mail-Sicherheitsgeräten aus. Der Netzwerkausrüster warnte am Donnerstag vor der Schwachstelle mit der höchsten Gefahrenstufe 10,0. Für die betroffenen Produkte Cisco Secure Email Gateway (SEG) und Secure Email and Web Manager (SEWM) steht noch kein Software-Update zur Verfügung. Unternehmen müssen daher umgehend Schutzmaßnahmen ergreifen, um die vollständige Übernahme ihrer Systeme zu verhindern.

Die Lücke mit der Kennung CVE-2025-20393 ermöglicht es einem Angreifer, ohne Authentifizierung und aus der Ferne beliebige Befehle mit Administratorrechten auf dem Gerät auszuführen. Cisco bestätigte, dass eine als “UAT-9686” identifizierte, hochsophistizierte Hackergruppe die Schwachstelle bereits seit Ende November 2025 nutzt. Das Ziel: Hintertüren einbauen und die Kontrolle über die gesamte E-Mail-Infrastruktur übernehmen.

Die Meldung zu CVE-2025-20393 macht deutlich, wie verwundbar Unternehmen an der Netzwerkgrenze sind. Viele Betriebe haben weder genug Personal noch Budget, um jede Edge‑Komponente laufend zu härten – trotzdem lassen sich mit priorisierten, praxisnahen Maßnahmen sofort große Risiken reduzieren. Ein kostenloses E‑Book erklärt aktuelle Cyber‑Security‑Trends, konkrete Schutzschritte für kleine IT‑Teams und wie Sie Ihr Unternehmen ohne teure Investitionen resilienter machen. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Ciscos Threat-Intelligence-Einheit Talos ordnet UAT-9686 mit “mittlerer Sicherheit” einer chinesischen Advanced Persistent Threat (APT)-Gruppe zu. Die Angriffe wurden am 10. Dezember entdeckt. Nach dem Einbruch installieren die Hacker ein spezielles Toolkit, darunter die Python-Hintertür “AquaShell” und das Tarnwerkzeug “AquaPurge”, um ihre Spuren zu verwischen.

Kein Patch in Sicht – So müssen Unternehmen reagieren

Bislang hat Cisco kein Update veröffentlicht, um das Loch zu schließen. Die US-Cybersicherheitsbehörde CISA hat die Lücke bereits in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen und fordert Bundesbehörden zur Absicherung bis Anfang Januar auf.

Die Anweisungen des Herstellers sind eindeutig: Für bereits kompromittierte Geräte gibt es derzeit keine andere Lösung als einen kompletten Neuaufbau. Für noch nicht angegriffene Systeme gelten drei dringende Maßnahmen:
1. Spam-Quarantäne-Funktion deaktivieren, sofern sie vom Internet aus erreichbar ist.
2. Zugriff auf die Management-Oberfläche auf vertrauenswürdige interne Netzwerke beschränken.
3. Web-Logs überwachen auf ungewöhnliche HTTP-POST-Anfragen, die auf eine Verbindung zur AquaShell-Hintertür hindeuten könnten.

Die Lücke ist nur unter spezifischen Konfigurationen ausnutzbar: Die Spam-Quarantäne muss aktiviert und deren Schnittstelle vom Internet aus erreichbar sein. Obwohl die Funktion nicht standardmäßig aktiv ist, nutzen viele Unternehmen sie für ihr E-Mail-Management – ein potenzielles Einfallstor, wenn keine Firewall-Regeln den Zugriff einschränken.

Edge-Geräte im Fokus von Spionageangriffen

Der Angriff folgt einem besorgniserregenden Trend: Immer häufiger werden Edge-Geräte wie Firewalls, VPN-Gateways und eben E-Mail-Sicherheitsappliances zum Ziel staatlicher Cyber-Spionage. Diese Geräte sitzen an der Netzwerkgrenze, haben weitreichende Berechtigungen und werden oft weniger intensiv überwacht als Server oder Laptops.

“Edge-Geräte sind die neue Frontlinie”, sagt Michael Taggart, Senior Cybersecurity Researcher. “Eine Schwachstelle mit CVSS 10,0 in einem E-Mail-Gateway ist ein Albtraum-Szenario, weil es direkt im Datenfluss der Unternehmenskommunikation sitzt.”

Die Verwendung von maßgeschneiderter Malware wie AquaShell deutet darauf hin, dass es UAT-9686 primär um Spionage und Datendiebstahl geht, nicht um kurzfristige Sabotage oder Ransomware. Sicherheitsteams müssen mit einem Patch von Cisco in den kommenden Tagen rechnen. Bis dahin bleibt das Risiko akut. Die Veröffentlichung der Details könnte zudem andere Angreifer, einschließlich Ransomware-Banden, anlocken, die die Ausnutzungsmethode nachbauen wollen.

PS: Wenn Sie prüfen möchten, welche kurzfristigen Maßnahmen jetzt höchste Wirkung bringen, kann dieser Gratis‑Leitfaden helfen: Er fasst kompakt zusammen, welche Prioritäten IT‑Verantwortliche setzen sollten, wie Sie Monitoring‑Lücken schnell schließen und wie Sie Mitarbeiterschulungen und technische Kontrollen kombinieren. Gratis E‑Book: Cyber‑Security Awareness Trends herunterladen