Cisco lanzó el jueves actualizaciones de seguridad para una defecto de seguridad de máxima compostura que afecta al software Cisco AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager, casi un mes a posteriori de que la compañía revelara que había sido explotado como un día cero por un actor de amenaza persistente avanzadilla (APT) de China-nexus con nombre en código UAT-9686.
La vulnerabilidad, rastreada como CVE-2025-20393 (Puntuación CVSS: 10.0), es una defecto de ejecución remota de comandos que surge como resultado de una firmeza insuficiente de las solicitudes HTTP por parte de la función Spam Quarantine. La explotación exitosa del defecto podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operante subyacente de un dispositivo afectado.
Sin incautación, para que el ataque funcione, se deben cumplir tres condiciones:
- El dispositivo ejecuta una interpretación indefenso del software Cisco AsyncOS
- El dispositivo está configurado con la función de cuarentena de spam.
- La función de cuarentena de spam está expuesta y se puede entrar a ella desde Internet.
El mes pasado, el fabricante de equipos de redes reveló que encontró evidencia de que UAT-9686 explotaba la vulnerabilidad a fines de noviembre de 2025 para eliminar herramientas de túnel como ReverseSSH (incluso conocido como AquaTunnel) y Chisel, y una utilidad de precisión de registros emplazamiento AquaPurge.
Los ataques incluso se caracterizan por el despliegue de una puerta trasera ligera de Python denominada AquaShell que es capaz de acoger comandos codificados y ejecutarlos.
La vulnerabilidad ahora se ha solucionado en las siguientes versiones, encima de eliminar los mecanismos de persistencia que se identificaron en esta campaña de ataque y se instalaron en los dispositivos:
Puerta de enlace de seguridad de correo electrónico de Cisco
- Traducción 14.2 y anteriores del software Cisco AsyncOS (corregido en 15.0.5-016)
- Traducción 15.0 del software Cisco AsyncOS (corregido en 15.0.5-016)
- Traducción 15.5 del software Cisco AsyncOS (corregido en 15.5.4-012)
- Traducción 16.0 del software Cisco AsyncOS (corregido en 16.0.4-016)
Administrador web y de correo electrónico seguro
- Traducción 15.0 y anteriores del software Cisco AsyncOS (corregido en 15.0.2-007)
- Traducción 15.5 del software Cisco AsyncOS (corregido en 15.5.4-007)
- Traducción 16.0 del software Cisco AsyncOS (corregido en 16.0.4-010)
Encima, Cisco incluso insta a los clientes a seguir pautas de refuerzo para evitar el comunicación desde redes no seguras, proteger los dispositivos detrás de un firewall, monitorear el tráfico de registros web para detectar cualquier tráfico inesperado en torno a/desde los dispositivos, deshabilitar HTTP para el portal de administrador principal, deshabilitar cualquier servicio de red que no sea necesario, imponer una forma sólida de autenticación de afortunado final en los dispositivos (por ejemplo, SAML o LDAP) y cambiar la contraseña de administrador predeterminada a una cambio más segura.
