Cisco confirma que un grupo de amenazas persistentes ha estado explotando un fallo de máxima gravedad (CVSS 10.0) desde noviembre, permitiendo la ejecución remota de comandos “root” en dispositivos expuestos.
La seguridad del correo electrónico corporativo vuelve a estar en el punto de mira. Cisco ha confirmado la explotación activa de una vulnerabilidad Zero Day (CVE-2025-20393) que afecta a sus dispositivos Secure Email Gateway (SEG) y Secure Email and Web Manager.
El fallo es tan grave que ha recibido la puntuación máxima en la escala de riesgos: 10/10. Permite a un atacante tomar el control total del dispositivo sin necesidad de contraseñas ni interacción del usuario, simplemente enviando solicitudes HTTP maliciosas.
El Detalle del Fallo: Cuarentena de Spam Abierta
La vulnerabilidad reside en la función de Cuarentena de Spam del software Cisco AsyncOS.
- El Problema: Una validación insuficiente de las entradas HTTP permite a atacantes no autenticados inyectar y ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root.
- El Vector: El ataque se dirige a dispositivos donde la función de Cuarentena de Spam está habilitada y accesible a través de internet (típicamente en el puerto TCP 6025). Cisco señala que esta configuración no viene habilitada por defecto, pero es común en ciertos despliegues.
Quién está detrás: UAT-9686
La unidad de inteligencia Cisco Talos ha atribuido esta campaña a un actor de amenazas avanzado conocido como UAT-9686 (o UNC-9686), el cual tiene vínculos probables con China.
- Objetivos: Los ataques se han centrado en sectores de telecomunicaciones e infraestructura crítica, buscando espionaje y persistencia a largo plazo.
- Herramientas: Una vez dentro, los atacantes despliegan un arsenal personalizado que incluye:
- AquaShell: Un backdoor basado en Python para mantener el acceso.
- AquaTunnel y Chisel: Herramientas para crear túneles SSH inversos y moverse lateralmente por la red interna.
- AquaPurge: Una utilidad diseñada para borrar logs y eliminar huellas forenses.
Solución y Parches
Cisco ha lanzado actualizaciones de firmware que no solo cierran la vulnerabilidad, sino que también eliminan los mecanismos de persistencia conocidos instalados por los atacantes.
Versiones Corregidas (Secure Email Gateway):
- Actualizar a 15.0.5-016, 15.5.4-012, o 16.0.4-016.
Versiones Corregidas (Secure Email and Web Manager):
- Actualizar a 15.0.2-007, 15.5.4-007, o 16.0.4-010.
Recomendación
Si administras estos dispositivos, verifica inmediatamente si la función de Cuarentena de Spam está expuesta a internet. Si no puedes parchear hoy mismo, restringe el acceso al puerto 6025 solo a IPs de gestión de confianza mediante un firewall externo. Cisco y CISA instan a tratar esto como una emergencia de nivel crítico.
