Cisco Talos ha confirmado que los atacantes están aprovechando activamente una vulnerabilidad de día cero (CVSS 10) en AsyncOS.

Cisco ha informado a los usuarios acerca de una grave vulnerabilidad sin parchear en el software Cisco AsyncOS, que está siendo explorada por un grupo de actores de amenazas persistentes avanzadas (APT) vinculado a China, conocido como
UAT-9686. Estos ataques están dirigidos a Cisco Secure Email Gateway y Cisco Secure Email and Web Manager.

La empresa de tecnología indicó que tuvo conocimiento de esta campaña de intrusión el 10 de diciembre de 2025 y ha identificado un «subconjunto limitado de dispositivos» con puertos abiertos a Internet. Por el momento, se desconoce cuántos clientes se han visto afectados.

«Este ataque permite a los actores de amenazas ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado»,
informó Cisco. «La investigación en curso ha aportado evidencia de un mecanismo de persistencia implementado por los atacantes para conservar cierto control sobre los dispositivos comprometidos».

La vulnerabilidad, aún sin parchear, está identificada como
CVE-2025-20393 y tiene una puntuación CVSS de 10.0. Se trata de un fallo de validación de entrada que permite a los atacantes ejecutar instrucciones maliciosas con privilegios elevados en el sistema operativo subyacente.

Todas las versiones del software Cisco AsyncOS están en riesgo. Sin embargo, para que la explotación sea exitosa, se deben cumplir las siguientes condiciones en las versiones físicas y virtuales de Cisco Secure Email Gateway y Cisco Secure Email and Web Manager:

  • El dispositivo está configurado con la función de Cuarentena de Spam.
  • La función de Cuarentena de Spam es accesible desde Internet.

Es importante destacar que la función de Cuarentena de Spam no se encuentra habilitada por defecto.

La explotación observada por Cisco se remonta al menos a finales de noviembre de 2025, cuando UAT-9686 utilizó la vulnerabilidad para eliminar herramientas de tunelización como
ReverseSSH (también conocido como AquaTunnel) y
Chisel, así como una utilidad de limpieza de registros llamada AquaPurge. El uso de AquaTunnel se ha vinculado anteriormente a grupos de hackers chinos como
APT41 y
UNC5174.

Además, se implementó una puerta trasera ligera en Python llamada AquaShell, que puede recibir y ejecutar comandos codificados. «Escucha pasivamente las solicitudes HTTP POST no autenticadas que contienen datos específicamente diseñados»,
declaró Cisco. «Si se identifica tal solicitud, la puerta trasera intentará analizar el contenido mediante una rutina de decodificación personalizada y ejecutarlo en el shell del sistema».

Dado que no hay un parche disponible, se recomienda a los usuarios restaurar sus dispositivos a configuraciones seguras, limitar el acceso desde Internet, proteger los dispositivos con un firewall para permitir el tráfico solo desde hosts de confianza, separar las funciones de correo y administración en redes independientes, monitorear el tráfico de registro web para detectar comportamientos inusuales y desactivar HTTP en el portal principal del administrador.

También se aconseja desactivar cualquier servicio de red innecesario, implementar métodos robustos de
autenticación como SAML o LDAP, y cambiar la contraseña de administrador predeterminada por una más segura.

«Si se confirma una intrusión, reconstruir los dispositivos es actualmente la única opción viable para eliminar el mecanismo de persistencia del actor de amenazas», advirtió la compañía.

Este asunto ha llevado a CISA a incluir la vulnerabilidad CVE-2025-20393 en su lista de Vulnerabilidades Explotadas Conocidas (KEV).

Esta noticia se produce tras el anuncio de
GreyNoise, que informó sobre una
«campaña automatizada coordinada basada en credenciales dirigida a la infraestructura de autenticación de VPN empresarial», específicamente investigando portales de Cisco SSL VPN y Palo Alto Networks GlobalProtect que están expuestos o tienen protección débil. Se estima que más de 10.000 IP únicas intentaron inicios de sesión automatizados en portales de GlobalProtect utilizando combinaciones comunes de nombre de usuario y contraseña el 11 de diciembre de 2025.

Fuente:
THN


Con Información de blog.segu-info.com.ar