Cisco ha alertado a los usuarios sobre una falla de día cero de alta gravedad en el software Cisco AsyncOS que fue explotada activamente por un actor de amenaza persistente avanzada (APT) de China-Nexus, con nombre en código UAT-9686, en ataques contra Cisco Secure Email Gateway y Cisco Secure Email and Web Manager.
El especialista en equipos de red dijo que se dio cuenta de la campaña de intrusión el 10 de diciembre de 2025 e identificó un “subconjunto limitado de dispositivos” que tenían ciertos puertos abiertos a Internet. Actualmente se desconoce cuántos clientes están afectados.
“Este ataque permite a los actores de amenazas ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado”, dijo Cisco en un aviso. “La investigación en curso ha revelado evidencia de un mecanismo de persistencia utilizado por los actores de amenazas para mantener cierto nivel de control sobre los dispositivos comprometidos”.
Se considera que la vulnerabilidad, que aún no se ha solucionado, está siendo rastreada. CVE-2025-20393y tiene una puntuación CVSS de 10,0. Es un caso de validación de entrada inadecuada que permite a los actores de amenazas ejecutar instrucciones maliciosas con privilegios elevados en el sistema operativo subyacente.
Todas las versiones del software Cisco AsyncOS se ven afectadas. Sin embargo, para una explotación exitosa, se deben cumplir las siguientes condiciones para las versiones físicas y virtuales de Cisco Secure Email Gateway y de los dispositivos Cisco Secure Email and Web Manager:
- El dispositivo está configurado con la función de cuarentena de spam.
- La función de cuarentena de spam es accesible y accesible a través de Internet.
Tenga en cuenta que la función de cuarentena de spam no está habilitada de forma predeterminada. Para comprobar si está habilitado, se recomienda a los usuarios que sigan los pasos a continuación:
- Conéctese a la interfaz de administración web
- Navegue a Red > Interfaces IP > (Seleccione la interfaz en la que está configurada la Cuarentena de spam) (para Secure Email Gateway) o Dispositivo de administración > Red > Interfaces IP > (Seleccione la interfaz en la que está configurada la Cuarentena de spam) (para Secure Email y Web Manager)
- Si la opción Cuarentena de spam está habilitada, la función está habilitada
La actividad de explotación observada por Cisco se remonta al menos a finales de noviembre de 2025, cuando UAT-9686 utilizó la vulnerabilidad como arma para eliminar herramientas de túnel como ReverseSSH (también conocida como AquaTunnel) y Chisel, así como una utilidad de desinfección de registros llamada AquaPurge. El uso de AquaTunnel se ha relacionado anteriormente con grupos de hackers chinos como APT41 y UNC5174.
Los ataques también utilizan una puerta trasera ligera de Python llamada AquaShell, que es capaz de recibir y ejecutar comandos cifrados.
“Escucha pasivamente solicitudes HTTP POST no autenticadas que contienen datos especialmente diseñados”, dijo Cisco. “Cuando se identifica dicha solicitud, la puerta trasera intenta analizar el contenido utilizando una rutina de decodificación personalizada y ejecutarla en el shell del sistema”.
Si no hay un parche, se recomienda a los usuarios restablecer sus dispositivos a una configuración segura, restringir el acceso desde Internet, proteger los dispositivos detrás de un firewall para permitir el tráfico solo desde hosts confiables, distribuir funciones administrativas y de correo electrónico a interfaces de red separadas, monitorear el tráfico del protocolo web para detectar tráfico inesperado y deshabilitar HTTP para el portal de administrador principal.
También se recomienda desactivar todos los servicios de red innecesarios, utilizar métodos sólidos de autenticación de usuario final, como SAML o LDAP, y cambiar la contraseña de administrador predeterminada por una variante más segura.
“En caso de un compromiso confirmado, restaurar los dispositivos es actualmente la única opción viable para eliminar el mecanismo de persistencia del actor de amenazas del dispositivo”, dijo la compañía.
Este desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar CVE-2025-20393 a su catálogo de vulnerabilidades explotadas conocidas (KEV) y exigir a las agencias del Poder Ejecutivo Civil Federal (FCEB) que tomen las medidas correctivas necesarias para proteger sus redes antes del 24 de diciembre de 2025.
La divulgación se produce después de que GreyNoise dijera que descubrió una “campaña coordinada, automatizada y basada en credenciales” dirigida a la infraestructura de autenticación VPN empresarial, investigando específicamente los portales Cisco SSL VPN y Palo Alto Networks GlobalProtect expuestos o débilmente protegidos.
Se estima que al 11 de diciembre de 2025, más de 10.000 direcciones IP únicas intentaron iniciar sesión automáticamente en los portales de GlobalProtect en los Estados Unidos, Pakistán y México utilizando combinaciones comunes de nombre de usuario y contraseña. Un aumento similar en los intentos oportunistas de inicio de sesión por fuerza bruta se observó en los puntos finales de Cisco SSL VPN el 12 de diciembre de 2025. La actividad provino de 1273 direcciones IP.
“La actividad refleja intentos de inicio de sesión programados a gran escala, no explotación de vulnerabilidades”, dijo la firma de inteligencia de amenazas. “El uso y la programación consistentes de la infraestructura sugieren que una sola campaña abarca múltiples plataformas VPN”.
About The Author
