Cisco ha advertido a los usuarios sobre una vulnerabilidad de día cero de máxima gravedad en el software Cisco AsyncOS. Esta vulnerabilidad está siendo explotada activamente por un atacante de Amenaza Persistente Avanzada (APT) alineado con China (con nombre en código UAT-9686) en ataques dirigidos a Cisco Secure Email Gateway y Cisco Secure Email and Web Manager.
El gigante de equipos de red dijo que se dio cuenta de la campaña de intrusión el 10 de diciembre de 2025 e identificó «un número limitado de dispositivos» que tenían puertos específicos abiertos a Internet. Por el momento se desconoce el número de clientes afectados.
«Este ataque permite a un atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado», dijo Cisco en un aviso. «La investigación en curso ha descubierto evidencia de mecanismos de persistencia implementados por actores de amenazas para mantener cierto nivel de control sobre los dispositivos comprometidos».
Esta vulnerabilidad sin parches se rastrea como CVE-2025-20393 y tiene una puntuación CVSS de 10,0. Esto se refiere a casos en los que una validación de entrada incorrecta permite que un actor de amenazas ejecute instrucciones maliciosas con privilegios elevados en el sistema operativo subyacente.
Todas las versiones del software Cisco AsyncOS se ven afectadas. Sin embargo, para que la explotación tenga éxito, tanto la versión física como la virtual de Cisco Secure Email Gateway y de los dispositivos Cisco Secure Email and Web Manager deben cumplir las siguientes condiciones:
El dispositivo está configurado con la función de cuarentena de spam. La función de cuarentena de spam está expuesta a Internet y se puede acceder a ella desde Internet.
Tenga en cuenta que la función Cuarentena de spam no está habilitada de forma predeterminada. Para comprobar si está habilitado, recomendamos seguir estos pasos:
Conéctese a la interfaz de administración web. Vaya a (Red) > (Interfaces IP) > (Seleccione la interfaz que tiene configurada la cuarentena de spam) (para Secure Email Gateway) o (Dispositivo de administración) > (Red) > (Seleccione la interfaz que tiene configurada la cuarentena de spam) (para Secure Email and Web Manager). La función está habilitada si la opción (Cuarentena de spam) está marcada.
La actividad de explotación observada por Cisco se remonta al menos a finales de noviembre de 2025, cuando UAT-9686 utilizó la vulnerabilidad como arma para eliminar herramientas de tunelización como ReverseSSH (también conocida como AquaTunnel) y Chisel, así como una utilidad de limpieza de registros llamada AquaPurge. El uso de AquaTunnel se ha asociado con grupos de hackers chinos como APT41 y UNC5174.
El ataque también introduce una puerta trasera ligera de Python llamada AquaShell que puede recibir y ejecutar comandos codificados.
«Escucha pasivamente solicitudes HTTP POST no autenticadas que contienen datos especialmente diseñados», dijo Cisco. «Si se identifica dicha solicitud, la puerta trasera utiliza una rutina de decodificación personalizada para analizar el contenido e intenta ejecutarlo en el shell del sistema».
Si no está parcheado, recomendamos que los usuarios restablezcan el dispositivo a una configuración segura, restrinjan el acceso desde Internet, aseguren el dispositivo detrás de un firewall para permitir solo el tráfico de hosts confiables, aíslen el correo electrónico y las funciones administrativas para separar interfaces de red, supervisen el tráfico de registros web para detectar tráfico inesperado y deshabiliten HTTP en el portal principal del administrador.
También recomendamos desactivar los servicios de red innecesarios, utilizar métodos sólidos de autenticación de usuario final como SAML o LDAP y cambiar la contraseña de administrador predeterminada por una contraseña más segura.
«Si se confirma una infracción, reconstruir el dispositivo es actualmente la única opción viable para erradicar los mecanismos de persistencia del actor de amenazas del dispositivo», dijo la compañía.
En respuesta a este desarrollo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2025-20393 a su Catálogo de vulnerabilidades explotadas conocidas (KEV) y requirió que las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicaran las mitigaciones necesarias antes del 24 de diciembre de 2025 para proteger sus redes.
La divulgación se produce después de que GreyNoise anunciara que había detectado una «campaña coordinada y automatizada basada en credenciales» dirigida a la infraestructura de autenticación de VPN empresarial, investigando específicamente las VPN SSL de Cisco expuestas o débilmente protegidas y el portal GlobalProtect de Palo Alto Networks.
El 11 de diciembre de 2025, se estima que más de 10,000 IP únicas estuvieron involucradas en intentos de inicio de sesión automatizados en portales GlobalProtect ubicados en los Estados Unidos, Pakistán y México utilizando combinaciones comunes de nombre de usuario y contraseña. A partir del 12 de diciembre de 2025, registramos un aumento similar en intentos oportunistas de inicio de sesión por fuerza bruta contra puntos finales de Cisco SSL VPN. Esta actividad se originó en 1.273 direcciones IP.
«Esta actividad refleja intentos de inicio de sesión programados a gran escala en lugar de explotación de vulnerabilidades», dijo la firma de inteligencia de amenazas. «El uso y el tiempo constantes de la infraestructura indican que se está implementando una única campaña en múltiples plataformas VPN».
Source link
