Cisco ha alertado a los usuarios sobre una falta de día cero de pesantez máxima en el software Cisco AsyncOS que ha sido explotada activamente por un actor de amenaza persistente vanguardia (APT) de China Nexus con nombre en código UAT-9686 en ataques dirigidos a Cisco Secure Email Gateway y Cisco Secure Email and Web Manager.
La importante empresa de equipos de redes dijo que se enteró de la campaña de intrusión el 10 de diciembre de 2025 y que destacó un “subconjunto constreñido de dispositivos” con ciertos puertos abiertos a Internet. Actualmente no se sabe cuántos clientes se ven afectados.
“Este ataque permite a los actores de amenazas ejecutar comandos arbitrarios con privilegios de root en el sistema operante subyacente de un dispositivo afectado”, dijo Cisco en un aviso. “La investigación en curso ha revelado evidencia de un mecanismo de persistencia colocado por los actores de amenazas para suministrar cierto división de control sobre los dispositivos comprometidos”.
La vulnerabilidad aún sin parchear se está rastreando como CVE-2025-20393y tiene una puntuación CVSS de 10,0. Se alcahuetería de un caso de energía de entrada inadecuada que permite a los actores de amenazas ejecutar instrucciones maliciosas con privilegios elevados en el sistema operante subyacente.
Todas las versiones del software Cisco AsyncOS se ven afectadas. Sin incautación, para que se produzca una explotación exitosa, se deben cumplir las siguientes condiciones para las versiones físicas y virtuales de Cisco Secure Email Gateway y los dispositivos Cisco Secure Email and Web Manager:
- El dispositivo está configurado con la función de cuarentena de spam.
- La función de cuarentena de spam está expuesta y se puede alcanzar a ella desde Internet.
Vale la pena señalar que la función Cuarentena de spam no está habilitada de forma predeterminada. Para confirmar si está facultado, se recomienda a los usuarios que sigan los pasos a continuación:
- Conéctese a la interfaz de despacho web
- Navegue a Red > Interfaces IP > (Seleccione la interfaz en la que está configurada la Cuarentena de spam) (para Secure Email Gateway) o Dispositivo de despacho > Red > Interfaces IP > (Seleccione la interfaz en la que está configurada la Cuarentena de spam) (para Secure Email y Web Manager)
- Si la opción Cuarentena de spam está marcada, la función está habilitada
La actividad de explotación observada por Cisco se remonta al menos a finales de noviembre de 2025, cuando UAT-9686 utilizó la vulnerabilidad como pertrechos para eliminar herramientas de túnel como ReverseSSH (asimismo conocido como AquaTunnel) y Chisel, así como una utilidad de aseo de registros llamamiento AquaPurge. El uso de AquaTunnel se ha asociado anteriormente con grupos de hackers chinos como APT41 y UNC5174.
Además se implementó en los ataques una puerta trasera ligera de Python denominada AquaShell que es capaz de admitir comandos codificados y ejecutarlos.
“Audición pasivamente solicitudes HTTP POST no autenticadas que contienen datos especialmente diseñados”, dijo Cisco. “Si se identifica dicha solicitud, la puerta trasera intentará analizar el contenido utilizando una rutina de decodificación personalizada y ejecutarlo en el shell del sistema”.
En desaparición de un parche, se recomienda a los usuarios restaurar sus dispositivos a una configuración segura, circunscribir el entrada desde Internet, proteger los dispositivos detrás de un firewall para permitir el tráfico solo desde hosts confiables, separar la funcionalidad de correo y despacho en interfaces de red separadas, monitorear el tráfico de registros web para detectar cualquier tráfico inesperado y deshabilitar HTTP para el portal de administrador principal.
Además se recomienda desactivar todos los servicios de red que no sean necesarios, utilizar métodos sólidos de autenticación de legatario final como SAML o LDAP y cambiar la contraseña de administrador predeterminada por una variación más segura.
“En caso de un compromiso confirmado, restaurar los dispositivos es, actualmente, la única opción viable para erradicar el mecanismo de persistencia del actor de amenazas del dispositivo”, dijo la compañía.
Este ampliación ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a sumar CVE-2025-20393 a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige que las agencias del Poder Ejecutante Civil Federal (FCEB) apliquen las mitigaciones necesarias antaño del 24 de diciembre de 2025 para proteger sus redes.
La divulgación se produce cuando GreyNoise dijo que había detectado una “campaña coordinada y automatizada basada en credenciales” dirigida a la infraestructura de autenticación de VPN empresarial, investigando específicamente los portales Cisco SSL VPN y Palo Detención Networks GlobalProtect expuestos o débilmente protegidos.
Se estima que más de 10 000 IP únicas participaron en intentos de inicio de sesión automatizados en portales GlobalProtect ubicados en EE. UU., Pakistán y México utilizando combinaciones comunes de nombre de legatario y contraseña el 11 de diciembre de 2025. Se registró un aumento similar en intentos oportunistas de inicio de sesión por fuerza bruta contra los puntos finales de Cisco SSL VPN a partir del 12 de diciembre de 2025. La actividad se originó en 1273 direcciones IP.
“La actividad refleja intentos de inicio de sesión programados a gran escalera, no explotación de vulnerabilidades”, dijo la firma de inteligencia de amenazas. “El uso constante de la infraestructura y los tiempos indican que una sola campaña tournée en múltiples plataformas VPN”.
Modernizar
La plataforma de gobierno de superficies de ataque Censys dijo que ha observado 220 instancias de Cisco Secure Email Gateway expuestas a Internet, aunque no todas se dice que sean vulnerables.
