Cisco lanzó el jueves una actualización de seguridad para fallas de seguridad de máxima gravedad que afectan el software Cisco AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. Esto se produce casi un mes después de que la compañía revelara que había sido atacada por un ataque de día cero por parte de un atacante de Amenaza Persistente Avanzada (APT) alineado con China con nombre en código UAT-9686.
La vulnerabilidad, rastreada como CVE-2025-20393 (puntaje CVSS: 10.0), es una falla de ejecución remota de comandos resultante de una validación insuficiente de las solicitudes HTTP por parte de la cuarentena de spam. La explotación exitosa de esta falla podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado.
Sin embargo, se deben cumplir tres condiciones para que el ataque funcione:
El dispositivo ejecuta una versión vulnerable del software Cisco AsyncOS. El dispositivo está configurado con la función de cuarentena de spam. La función de cuarentena de spam está expuesta a Internet y se puede acceder a ella desde Internet.
El mes pasado, el gigante de los equipos de redes reveló que había descubierto evidencia de que UAT-9686 explotaba vulnerabilidades para eliminar herramientas de túneles como ReverseSSH (también conocido como AquaTunnel) y Chisel, así como una utilidad de limpieza de registros llamada AquaPurge, ya a finales de noviembre de 2025.
Este ataque también se caracteriza por el despliegue de una puerta trasera ligera de Python llamada AquaShell que puede recibir y ejecutar comandos codificados.
Además de eliminar el mecanismo de persistencia identificado en esta campaña de ataque e instalado en el dispositivo, esta vulnerabilidad se solucionó en las siguientes versiones:
Puerta de enlace de seguridad de correo electrónico de Cisco
Versión 14.2 del software Cisco AsyncOS y anteriores (corregido en 15.0.5-016) Versión 15.0 del software Cisco AsyncOS (corregido en 15.0.5-016) Versión 15.5 del software Cisco AsyncOS (corregido en 15.5.4-012) Versión 16.0 del software Cisco AsyncOS (corregido en 16.0.4-016)
Administrador web y de correo electrónico seguro
Versión 15.0 del software Cisco AsyncOS y anteriores (corregido en 15.0.2-007) Versión 15.5 del software Cisco AsyncOS (corregido en 15.5.4-007) Versión 16.0 del software Cisco AsyncOS (corregido en 16.0.4-010)
Cisco también ayuda a evitar el acceso desde redes no seguras, protege el dispositivo detrás de un firewall, monitorea el tráfico de registros web para detectar tráfico inesperado hacia y desde el dispositivo, desactiva HTTP en el portal principal del administrador, desactiva servicios de red innecesarios y proporciona formas sólidas de autenticación de usuario final para el dispositivo (como SAML o LDAP). ) y seguir pautas de seguridad para cambiar la contraseña de administrador predeterminada por una contraseña más segura.
Source link
