Cisco ha emitido una alerta sobre una vulnerabilidad de día cero con gravedad máxima en su software Cisco AsyncOS. Esta falla ha sido activamente explotada por un actor de amenaza persistente avanzada (APT) con nexos en China, apodado UAT-9686, en ataques dirigidos a Cisco Secure Email Gateway y Cisco Secure Email and Web Manager.
Detalles de la Amenaza
La campaña de intrusión se detectó el 10 de diciembre de 2025. Cisco identificó que un subconjunto limitado de sus appliances, con puertos específicos expuestos a Internet, fueron el objetivo. La vulnerabilidad, rastreada como CVE-2025-20393, posee una puntuación CVSS de 10.0 y permite a los atacantes ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente del appliance afectado. Los atacantes han logrado establecer mecanismos de persistencia para mantener el control sobre los sistemas comprometidos.
Condiciones para la Explotación
Para que la vulnerabilidad sea explotable, deben cumplirse las siguientes condiciones en las versiones físicas y virtuales de los appliances Cisco Secure Email Gateway y Cisco Secure Email and Web Manager:
- El appliance debe estar configurado con la función de Cuarentena de Spam.
- La función de Cuarentena de Spam debe estar expuesta y ser accesible desde Internet.
Es importante destacar que la función de Cuarentena de Spam no está habilitada por defecto. Los usuarios pueden verificar si está activa navegando a través de la interfaz web de gestión:
- Secure Email Gateway: Navigate to Network > IP Interfaces > [Seleccionar la Interfaz en la que está configurada la Cuarentena de Spam].
- Secure Email and Web Manager: Navigate to Management Appliance > Network > IP Interfaces > [Seleccionar la interfaz en la que está configurada la Cuarentena de Spam].
Si la opción “Spam Quarantine” está marcada, la función está habilitada.
Herramientas Utilizadas por el Actor de Amenaza
La actividad de explotación observada se remonta al menos a finales de noviembre de 2025. UAT-9686 ha utilizado la vulnerabilidad para desplegar herramientas de túnel como ReverseSSH (también conocido como AquaTunnel) y Chisel, además de una utilidad de limpieza de logs llamada AquaPurge. El uso de AquaTunnel ha sido previamente asociado con grupos de hackers chinos como APT41 y UNC5174.
Adicionalmente, se ha detectado la implementación de un backdoor liviano en Python llamado AquaShell, capaz de recibir y ejecutar comandos codificados. Este backdoor escucha pasivamente solicitudes HTTP POST no autenticadas que contienen datos especialmente elaborados, los cuales son decodificados y ejecutados en la shell del sistema.
Mitigaciones y Recomendaciones
Ante la ausencia de un parche, Cisco recomienda las siguientes acciones:
- Restaurar los appliances a una configuración segura.
- Limitar el acceso desde Internet.
- Asegurar los dispositivos detrás de un firewall, permitiendo tráfico solo desde hosts de confianza.
- Separar las funcionalidades de correo y gestión en interfaces de red distintas.
- Monitorear el tráfico de logs web en busca de actividades inesperadas.
- Deshabilitar HTTP para el portal principal del administrador.
- Desactivar cualquier servicio de red que no sea estrictamente necesario.
- Utilizar métodos de autenticación de usuario robustos, como SAML o LDAP.
- Cambiar la contraseña de administrador por defecto por una variante más segura.
En caso de una compromiso confirmado, la reconstrucción de los appliances se considera la única opción viable para erradicar los mecanismos de persistencia del actor de amenaza.
Implicaciones y Contexto Adicional
La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha añadido CVE-2025-20393 a su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), exigiendo a las agencias del Poder Ejecutivo Federal Civil (FCEB) aplicar las mitigaciones necesarias antes del 24 de diciembre de 2025.
Este anuncio coincide con información de GreyNoise, que ha detectado una campaña coordinada y automatizada basada en credenciales dirigida a la infraestructura de autenticación de VPN empresariales, específicamente atacando portales Cisco SSL VPN y Palo Alto Networks GlobalProtect expuestos o débilmente protegidos. Se estima que más de 10,000 IPs únicas han participado en intentos automatizados de inicio de sesión en portales GlobalProtect y Cisco SSL VPN en fechas recientes, indicando una campaña a gran escala de intentos de login por fuerza bruta, no de explotación de vulnerabilidades.
Referencias
- CVE-2025-20393
- CISA KEV Catalog