Cisco lanzó el jueves actualizaciones de seguridad para una vulnerabilidad de alta gravedad que afecta el software Cisco AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager, casi un mes después de que la compañía revelara que fue explotada como un ataque de día cero por un actor de amenaza persistente avanzada (APT) de China-Nexus, con nombre en código UAT-9686.
La vulnerabilidad, rastreada como CVE-2025-20393 (Puntuación CVSS: 10,0) es un error de ejecución remota de comandos causado por una validación insuficiente de las solicitudes HTTP por parte de la función de cuarentena de spam. La explotación exitosa de la falla podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado.
Sin embargo, para que el ataque funcione se deben cumplir tres condiciones:
- El dispositivo ejecuta una versión vulnerable del software Cisco AsyncOS
- El dispositivo está configurado con la función de cuarentena de spam.
- La función de cuarentena de spam es accesible y accesible a través de Internet.
El mes pasado, la compañía de equipos de red anunció que había encontrado evidencia de que UAT-9686 estaba explotando la vulnerabilidad a fines de noviembre de 2025 para eliminar herramientas de tunelización como ReverseSSH (también conocido como AquaTunnel) y Chisel, así como un programa de limpieza de protocolos llamado AquaPurge.
Los ataques también incluyen el uso de una puerta trasera ligera de Python llamada AquaShell, que es capaz de recibir y ejecutar comandos cifrados.
La vulnerabilidad ahora ha sido reparada en las siguientes versiones, además de eliminar los mecanismos de persistencia identificados en esta campaña de ataque e instalados en los dispositivos:
Puerta de enlace de seguridad de correo electrónico de Cisco
- Versión 14.2 del software Cisco AsyncOS y anteriores (corregido en 15.0.5-016)
- Versión 15.0 del software Cisco AsyncOS (corregido en 15.0.5-016)
- Versión 15.5 del software Cisco AsyncOS (corregido en 15.5.4-012)
- Versión 16.0 del software Cisco AsyncOS (corregido en 16.0.4-016)
Administrador web y de correo electrónico seguro
- Versión del software Cisco AsyncOS 15.0 y anteriores (corregido en 15.0.2-007)
- Versión 15.5 del software Cisco AsyncOS (corregido en 15.5.4-007)
- Versión 16.0 del software Cisco AsyncOS (corregido en 16.0.4-010)
Además, Cisco requiere que los clientes sigan pautas de refuerzo para evitar el acceso desde redes no seguras, proteger los dispositivos detrás de un firewall, monitorear el tráfico del protocolo web para detectar tráfico inesperado hacia/desde los dispositivos, deshabilitar HTTP para el portal de administrador maestro, deshabilitar todos los servicios de red innecesarios, imponer una forma sólida de autenticación de usuario final para los dispositivos (por ejemplo, SAML o LDAP) y la contraseña de administrador predeterminada para cambiarla a una versión más segura.
About The Author
