Cisco Talos ha confirmado que se está explotando activamente una
vulnerabilidad Zero-Day (CVSS 10) sin parches en AsyncOS.
Cisco ha alertado a los usuarios sobre una vulnerabilidad de día cero de
máxima gravedad en el software Cisco AsyncOS, que ha sido explotada
activamente por un actor de amenazas persistentes avanzadas (APT) con nexo con
China, cuyo nombre en código es
UAT-9686, en ataques dirigidos a Cisco Secure Email Gateway y Cisco Secure Email and
Web Manager.
El fabricante de equipos de red afirmó haber tenido conocimiento de la campaña
de intrusión el 10 de diciembre de 2025 y haber identificado un «subconjunto
limitado de dispositivos» con ciertos puertos abiertos a internet. Actualmente
se desconoce el número de clientes afectados.
«Este ataque permite a los actores de amenazas ejecutar comandos
arbitrarios con privilegios de root en el sistema operativo subyacente de un
dispositivo afectado»,
declaró Cisco en un aviso.
«La investigación en curso ha revelado evidencia de un mecanismo de
persistencia implantado por los actores de amenazas para mantener cierto
grado de control sobre los dispositivos comprometidos».
La vulnerabilidad, aún sin parchear, se identifica como
CVE-2025-20393
y tiene una puntuación CVSS de 10.0. Se trata de un caso de validación de
entrada incorrecta que permite a los actores de amenazas ejecutar
instrucciones maliciosas con privilegios elevados en el sistema operativo
subyacente.
Todas las versiones del software Cisco AsyncOS están afectadas. Sin
embargo, para que la explotación se lleve a cabo con éxito, se deben cumplir
las siguientes condiciones tanto para las versiones físicas como virtuales de
los dispositivos Cisco Secure Email Gateway y Cisco Secure Email and Web
Manager:
- El dispositivo está configurado con la función de Cuarentena de Spam.
-
La función de Cuarentena de Spam está expuesta y es accesible desde
internet.
Cabe destacar que la función de Cuarentena de Spam no está habilitada
por defecto.
La
actividad de explotación observada por Cisco
se remonta al menos a finales de noviembre de 2025, cuando el UAT-9686 utilizó
la vulnerabilidad para eliminar herramientas de tunelización como
ReverseSSH
(también conocido como AquaTunnel) y
Chisel, así como una utilidad de limpieza de registros llamada AquaPurge. El uso de
AquaTunnel se ha asociado previamente con grupos de hackers chinos como
APT41
and
UNC5174.
También se implementó en los ataques una puerta trasera ligera de Python,
denominada AquaShell, capaz de recibir comandos codificados y ejecutarlos.
«Escucha pasivamente las solicitudes HTTP POST no autenticadas que
contienen datos especialmente diseñados»,
declaró Cisco.
«Si se identifica dicha solicitud, la puerta trasera intentará analizar el
contenido mediante una rutina de decodificación personalizada y ejecutarlo
en el shell del sistema».
A falta de un parche, se recomienda a los usuarios restaurar sus
dispositivos a una configuración segura, limitar el acceso desde internet, proteger los dispositivos con un firewall para permitir el tráfico
únicamente desde hosts de confianza, separar las funciones de correo y
administración en interfaces de red independientes, supervisar el tráfico del
registro web para detectar cualquier tráfico inesperado y desactivar HTTP en
el portal principal del administrador.
También se recomienda desactivar cualquier servicio de red que no sea
necesario, utilizar métodos robustos de
autenticación de usuario final como SAML o LDAP, y cambiar la contraseña de administrador predeterminada por una variante
más segura.
«En caso de una vulneración confirmada, reconstruir los dispositivos es,
actualmente, la única opción viable para erradicar el mecanismo de
persistencia del actor de amenazas», declaró la compañía.
Este desarrollo ha llevado a CISA a añadir la vulnerabilidad CVE-2025-20393 a
su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
La divulgación se produce después de que
GreyNoise anunciara
haber detectado una
«campaña coordinada y automatizada basada en credenciales dirigida a la
infraestructura de autenticación de VPN empresarial», específicamente investigando los portales expuestos o con protección débil
de Cisco SSL VPN y Palo Alto Networks GlobalProtect. Se estima que más de
10.000 IP únicas realizaron intentos de inicio de sesión automatizados en
portales de GlobalProtect utilizando combinaciones comunes de nombre de
usuario y contraseña el 11 de diciembre de 2025.
Fuente:
THN