Cisco corrige zero-day crítico en AsyncOS explotado desde 2025

Cisco ha publicado finalmente las actualizaciones de seguridad que corrigen una vulnerabilidad zero-day de gravedad máxima en Cisco AsyncOS, la plataforma que sustenta sus soluciones Secure Email Gateway (SEG) y Secure Email and Web Manager (SEWM). El fallo, identificado como CVE-2025-20393, había sido explotado activamente en ataques reales desde al menos noviembre de 2025, lo que lo convierte en uno de los incidentes más graves que han afectado recientemente a la infraestructura de seguridad de correo electrónico empresarial.

La vulnerabilidad permite a atacantes remotos ejecutar comandos arbitrarios con privilegios root en el sistema operativo subyacente de los dispositivos afectados, otorgándoles control total sobre los appliances comprometidos. Dado que estos sistemas suelen estar ubicados en el perímetro de red y procesan grandes volúmenes de correo entrante, el impacto potencial es considerable.

¿Qué es CVE-2025-20393 y qué productos afecta?

Cisco reveló públicamente la vulnerabilidad en diciembre de 2025, aunque confirmó que ya estaba siendo explotada activamente antes de su divulgación. Según la compañía, CVE-2025-20393 es una falla de validación de entrada incorrecta en Cisco AsyncOS que afecta a:

• Cisco Secure Email Gateway (SEG)
• Cisco Secure Email and Web Manager (SEWM)

El problema no afecta a todas las implementaciones por defecto. Cisco aclaró que solo impacta a appliances con configuraciones no estándar, específicamente cuando:

• La función Spam Quarantine está habilitada
• La interfaz de cuarentena se encuentra expuesta directamente a Internet
• En estas condiciones, un atacante no autenticado puede aprovechar la vulnerabilidad para ejecutar comandos con privilegios elevados.

Ejecución remota de comandos como root

CitarEn su aviso de seguridad, Cisco fue clara respecto a la gravedad del fallo:

"Cisco Secure Email Gateway, Secure Email, AsyncOS Software y Web Manager contienen una vulnerabilidad de validación de entrada incorrecta que permite a los actores de amenazas ejecutar comandos arbitrarios con privilegios root en el sistema operativo subyacente de un dispositivo afectado."

Este tipo de vulnerabilidad es especialmente crítica porque elimina por completo las barreras de seguridad del sistema, permitiendo al atacante instalar malware persistente, modificar configuraciones, interceptar comunicaciones o utilizar el appliance como punto de pivote hacia otros sistemas internos.

Ataques atribuidos a un grupo APT chino

Cisco Talos, el equipo de inteligencia de amenazas de la compañía, analizó la actividad maliciosa asociada a la explotación de CVE-2025-20393 y concluyó que los ataques están probablemente vinculados a un actor patrocinado por el Estado chino, al que rastrean como UAT-9686.

Según Talos, este grupo presenta patrones tácticos, herramientas e infraestructura coherentes con otros grupos APT chinos previamente documentados. Durante la investigación de los incidentes, los analistas observaron el despliegue de múltiples herramientas avanzadas, entre ellas:

• AquaShell, una puerta trasera personalizada utilizada para persistencia
• AquaTunnel, un implante de túnel inverso basado en SSH
• Chisel, una herramienta de tunneling ampliamente usada en campañas APT
• AquaPurge, una utilidad diseñada para borrar registros y eliminar rastros de la actividad maliciosa

Estas capacidades demuestran un alto nivel de sofisticación operativa y un claro enfoque en el sigilo y la persistencia a largo plazo.

Vínculos con otros grupos APT chinos

Cisco Talos también destacó que AquaTunnel y herramientas similares ya habían sido observadas anteriormente en campañas atribuidas a otros grupos respaldados por el Estado chino, como APT41 y UNC5174. Esta reutilización de herramientas refuerza la hipótesis de que UAT-9686 forma parte de un ecosistema más amplio de actores APT chinos, que comparten recursos, técnicas y conocimiento operativo.

Citar"Evaluamos con moderada confianza que el adversario, a quien seguimos como UAT-9686, es un actor chino de amenaza persistente avanzada (APT) cuyo uso de herramientas e infraestructura son consistentes con otros grupos de amenaza chinos", explicó Cisco Talos.

Respuesta de CISA y obligación para agencias federales

La gravedad de CVE-2025-20393 llevó a la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) a incluir la vulnerabilidad en su Catálogo de Vulnerabilidades Explotadas Conocidas el 17 de diciembre de 2025.

Como consecuencia, CISA emitió una orden bajo la Directiva Operativa Vinculante (BOD) 22-01, obligando a todas las agencias federales a:

• Evaluar su exposición
• Aplicar las mitigaciones recomendadas por Cisco
• Asegurar sus sistemas antes del 24 de diciembre de 2025

CISA enfatizó que este tipo de fallos representan un vector de ataque recurrente para actores avanzados y constituyen un riesgo significativo para infraestructuras críticas y gubernamentales.

Actualizaciones y mitigación

Cisco ha publicado instrucciones detalladas para actualizar los appliances vulnerables a versiones corregidas de AsyncOS. La compañía recomienda:

• Actualizar inmediatamente a una versión fija
• Revisar los dispositivos expuestos a Internet
• Buscar indicadores de compromiso, especialmente signos de herramientas como AquaShell o AquaTunnel
• Restringir el acceso público a la función de Spam Quarantine siempre que sea posible

Dado que se trata de una vulnerabilidad explotada activamente, no aplicar el parche supone un riesgo elevado incluso para organizaciones que crean no haber sido atacadas.

En fin...

El parcheo de CVE-2025-20393 marca el cierre de un incidente de seguridad crítico que ha afectado a dispositivos Cisco utilizados para proteger el correo electrónico corporativo, uno de los vectores más atacados en campañas de espionaje y ciberataques dirigidos. La explotación activa durante meses, combinada con la atribución a un grupo APT chino, subraya la importancia de actualizar rápidamente los sistemas perimetrales y monitorear continuamente posibles signos de intrusión.

Este caso refuerza una lección clave en ciberseguridad: los appliances de seguridad también son objetivos de alto valor y deben tratarse con el mismo rigor en términos de parches, monitoreo y respuesta a incidentes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login