Cisco ha emitido una advertencia de seguridad crítica hoy jueves: una vulnerabilidad de severidad máxima (CVSS 10.0) en sus dispositivos Secure Email Gateway (SEG) y Secure Email and Web Manager (SEWM) está siendo explotada activamente por un grupo de amenazas persistentes avanzadas (APT) vinculado a China.
El fallo, rastreado como CVE-2025-20393, es una vulnerabilidad de Zero day, lo que significa que los ataques comenzaron antes de que Cisco tuviera un parche listo para distribuir.
¿Cómo entran los atacantes?
El vector de ataque es específico pero letal. La vulnerabilidad reside en el módulo de Spam Quarantine (Cuarentena de Spam) del sistema operativo AsyncOS.
Si tu appliance tiene esta función habilitada y accesible desde Internet, los atacantes pueden explotar una validación de entrada incorrecta para ejecutar comandos arbitrarios con privilegios de root sin necesidad de autenticarse.
El Enemigo: UAT-9686
La unidad de inteligencia Cisco Talos ha atribuido estos ataques a un grupo denominado UAT-9686, un actor estatal con nexos con China (posiblemente relacionado con el infame APT41).
Una vez dentro, no solo roban correos; despliegan herramientas de persistencia personalizadas como AquaShell (un backdoor) y utilidades para borrar sus huellas de los logs, conocidas como AquaPurge.
La solución dolorosa: “Reconstruir, no parchear”
Debido a que este grupo instala rootkits profundos y puertas traseras a nivel de sistema operativo, Cisco ha dado una recomendación inusual y severa: Si se confirma que tu dispositivo fue comprometido, no intentes limpiarlo.
La única forma segura de eliminar la amenaza es formatear y reconstruir el appliance desde cero (factory reset) o reemplazarlo virtualmente. Un parche de software no eliminará el malware que ya está instalado.
¿Cómo protegerse?
Dado que no hay parhce disponible al momento de esta redacción (18 de diciembre), la única defensa es la configuración:
- Deshabilita el acceso externo: Asegúrate de que el puerto de la “Spam Quarantine” (usualmente HTTP/HTTPS) no sea accesible desde Internet.
- Solo VPN: Si tus usuarios necesitan revisar su cuarentena de spam desde casa, oblígalos a conectarse primero a la VPN corporativa.
CISA interviene
La Agencia de Ciberseguridad de EE. UU. (CISA) ya ha agregado este fallo a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), obligando a las agencias federales a mitigar el riesgo antes del 24 de diciembre.
Ficha Técnica del Zero-Day
| Dato | Detalle |
| CVE ID | CVE-2025-20393 |
| Severidad | Crítica (10.0 / 10) |
| Productos Afectados | Cisco Secure Email Gateway (ESA), Secure Email and Web Manager (SMA) |
| Condición | Feature “Spam Quarantine” expuesta a Internet |
| Estado de Parche | NO DISPONIBLE (A fecha 18 Dic 2025) |
| Malware Asociado | AquaTunnel, AquaShell, AquaPurge |
