El miércoles, Cisco anunció que los piratas informáticos estaban explotando una vulnerabilidad crítica en algunos de sus productos más populares que permite el control total de los dispositivos afectados. Peor aún, actualmente no hay parches disponibles.
En un aviso de seguridad, Cisco dijo que descubrió una campaña de piratería el 10 de diciembre dirigida al software Cisco AsyncOS y específicamente a los dispositivos físicos y virtuales Cisco Secure Email Gateway, Cisco Secure Email y Web Manager. La recomendación establece que la función “cuarentena de spam” esté activada en los dispositivos afectados y que se pueda acceder a ellos a través de Internet.
Cisco señaló que esta función no está habilitada de forma predeterminada y no es necesario acceder a ella a través de Internet, lo que puede ser una buena noticia. Michael Taggart, investigador senior de ciberseguridad de UCLA Health Sciences, dijo a TechCrunch que “requerir una interfaz de administración conectada a Internet y habilitar ciertas funciones limitará la superficie de ataque de esta vulnerabilidad”.
Sin embargo, Kevin Beaumont, un investigador de seguridad que rastrea las campañas de piratería, dijo a TechCrunch que parece ser una campaña de piratería particularmente problemática porque muchas organizaciones grandes utilizan los productos afectados, no hay parches disponibles y no está claro durante cuánto tiempo los piratas informáticos tuvieron puertas traseras en los sistemas afectados.
En este momento, Cisco no dice cuántos clientes se ven afectados.
Cuando TechCrunch la contactó, la portavoz de Cisco, Meredith Corley, no respondió una serie de preguntas y dijo que la compañía está “investigando activamente el problema y desarrollando una solución permanente”.
Contáctenos
¿Tiene más información sobre esta campaña de piratería? Por ejemplo, ¿qué empresas fueron el objetivo? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, en Telegram y Keybase @lorenzofb, o por correo electrónico.
La solución que Cisco propone actualmente a sus clientes consiste esencialmente en eliminar y reconstruir el software de los productos afectados, ya que no hay ningún parche disponible.
“En caso de un compromiso confirmado, reconstruir los dispositivos es actualmente la única opción viable para eliminar el mecanismo de persistencia de los actores de amenazas del dispositivo”, escribió la compañía.
Según Cisco Talos, el equipo de investigación de inteligencia de amenazas de la compañía, que publicó una entrada de blog sobre la campaña de piratería, los piratas informáticos detrás de la campaña están vinculados a China y otros grupos de piratería conocidos del gobierno chino.
Los investigadores escribieron que los piratas informáticos estaban explotando la vulnerabilidad, que en este momento es de día cero, para instalar puertas traseras persistentes, y que la campaña ha estado funcionando “al menos desde finales de noviembre de 2025”.
About The Author
