Ένα ελαφρύ σενάριο Python που βοηθά τους οργανισμούς να εντοπίζουν γρήγορα την έκθεση στο CVE-2025-20393, μια κρίσιμη ευπάθεια zero-day στο Cisco Secure Email Gateway (SEG) και το Secure Malware Analytics (SMA), γνωστό και ως Cisco Secure Email and Web Manager.
Το εργαλείο «Cisco SMA Exposure Check» εντοπίζει ανοιχτές θύρες και υπηρεσίες που έχουν γίνει αντικείμενο εκμετάλλευσης σε πρόσφατες επιθέσεις, όπως περιγράφεται λεπτομερώς στη συμβουλή της Cisco.
Αναπτύχθηκε από τον χρήστη του GitHub StasonJatham και κυκλοφόρησε δημόσια σήμερα, το σενάριο στοχεύει δείκτες συμβιβασμού που συνδέονται με το ελάττωμα, το οποίο επιτρέπει στους μη επιβεβαιωμένους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετο κώδικα μέσω εκτεθειμένων διεπαφών διαχείρισης και καραντίνας.
Οι εισβολείς έχουν οπλίσει θύρες όπως το TCP 82, 83, 443, 8080, 8443 και 9443 για πρόσβαση διαχειριστή, παράλληλα με τα τελικά σημεία καραντίνας στα 6025, 82, 83, 8443 και 9443.
Ο σαρώσεις εργαλείων αυτά, εκτελούν δακτυλικά αποτυπώματα HTTP/S (κεφαλίδες διακομιστή, κωδικοί κατάστασης, ανακατευθύνσεις, σφαίρες ελέγχου ταυτότητας, λέξεις-κλειδιά ειδικά για τη Cisco και μοτίβα εκδόσεων) και ελέγχει κοινές διαδρομές όπως /quarantine, /spamquarantine, /spam, /sma-login και /login.
Παίρνει επίσης ακατέργαστα πανό υποδοχής και επισημαίνει δείκτες ενεργούς εκμετάλλευσης, συμπεριλαμβανομένων συμβολοσειρών όπως “AquaShell”, “AquaTunnel”, “Chisel” και “AquaPurge” – χαρακτηριστικά των εργαλείων μετά τον συμβιβασμό που παρατηρούνται στη φύση.
Απλή ανάπτυξη, χωρίς εξαρτήσεις
Απαιτείται μόνο η τυπική βιβλιοθήκη της Python 3, το σενάριο εκτελείται σε δευτερόλεπτα:
textpython3 cisco-sa-sma-attack-N9bf4.py [-v] [-t ]
- -v: Η λειτουργία λεπτομερούς προβολής εμφανίζει όλους τους ελέγχους.
- -τ: Προσαρμοσμένο χρονικό όριο λήξης (προεπιλογή: γρήγοροι ανιχνευτές).
- Υποστηρίζει τομείς ή άμεσες IP (παρακάμπτει το DNS).
| Τύπος θύρας | Εκτεθειμένα λιμάνια | Επίπεδο Κινδύνου |
|---|---|---|
| Διαχειριστής/Mgmt | 82, 83, 443, 8080, 8443, 9443 | Κρίσιμος |
| Καραντίνα/Ανεπιθύμητη αλληλογραφία | 6025, 82, 83, 8443, 9443 | Ψηλά |
Τα αποτελέσματα επισημαίνουν ευάλωτες ρυθμίσεις παραμέτρων, δίνοντας τη δυνατότητα στους διαχειριστές να χρησιμοποιούν θύρες τείχους προστασίας, να εφαρμόζουν ενημερώσεις κώδικα Cisco ή να απομονώνουν τα συστήματα επειγόντως.
Της Cisco συμβουλευτική προειδοποιεί ενεργητικής εκμετάλλευσης, προτρέποντας τον άμεσο μετριασμό. Χωρίς να έχει δημοσιευθεί ακόμη βαθμολογία CVSS, το μη επιβεβαιωμένο δυναμικό RCE της ευπάθειας απηχεί παλαιότερα ελαττώματα SMA.
Αυτό το εργαλείο καλύπτει ένα κενό ανίχνευσης, ενδυναμώνοντας τις ομάδες SecOps χωρίς εμπορικούς σαρωτές. Ο StasonJatham τονίζει την υπεύθυνη χρήση: «Δοκιμάστε μόνο εξουσιοδοτημένα συστήματα».
