Vulnerabilidad Critica en Cisco Secure Email Gateway y Cisco Secure Email and Web Manager

El 17 de diciembre del 2025, Cisco publicó un aviso sobre la explotación activa de una vulnerabilidad crítica en el software Cisco AsyncOS, lo cual afecta sus productos Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. La vulnerabilidad, identificada como CVE-2025-20393, alcanza la puntuación CVSS máxima de 10.0 y existe debido a una mala validación de datos ingresados por usuarios, permitiendo así que un atacante ejecute comandos arbitrarios con privilegios root en el sistema operativo.

Cisco Secure Email Gateway es una solución para la comunicación segura en las organizaciones que ayuda a combatir el Compromiso de Correo Empresarial (BEC), ransomware, malware avanzado, phishing, spam y pérdida de datos. Es capaz de detectar, bloquear y remediar amenazas, aparte de proteger información en tránsito mediante cifrado de extremo a extremo.         Por otro lado, Cisco Secure Email and Web Manager centraliza las funciones de gestión de diferentes soluciones de correo electrónico y seguridad web.

Se ha observado al grupo cibercriminal chino conocido como UAT-9686 explotando esta vulnerabilidad para desplegar herramientas maliciosas, entre ellas una herramienta de borrado de registros llamada AquaPurge, una puerta trasera persistente conocida como AquaShell capaz de recibir y ejecutar comandos encriptados, además de herramientas de tunneling SSH como ReverseSSH (AquaTunnel) y Chisel.

Para su explotación exitosa se tienen que cumplir dos condiciones: que el dispositivo este configurado con la función “Cuarentena de Spam”, la cual no se activa por default, y que dicha función se encuentre expuesta y accesible desde internet.

Se puede validar si se cumplen estos requisitos en dispositivos de ambas soluciones conectándose a la interfaz web de gestión y después, en el caso de Secure Email Gateway, ir al apartado de Network, seleccionar IP Interfaces y buscar la interfaz donde la función está configurada. Para revisarlo en la solución Secure Email and Web Manager, se debe ingresar a Management Appliance, hacer clic en Network y después en IP Interfaces, y por último seleccionar la interfaz que corresponde a la función. En cualquiera de los dos productos, si la opción “Cuarentena de Spam” esta palomeada quiere decir que está habilitada.

Actualmente, Cisco no ha publicado versiones actualizadas que no sean vulnerables, por lo que recomienda principalmente restaurar los dispositivos afectados. Adicionalmente, se recomienda limitar el acceso a internet, restringir conexiones a hosts confiables, deshabilitar funciones no usadas, usar métodos de autenticación como SAML o LDAP, usar certificados SSL o TLS, e implementar firewalls de por medio para filtrar tráfico. Los administradores pueden monitorear y retener logs para su análisis, así como separar funciones de gestión y funciones de manejo de correo.
 

Versiones Afectadas

Producto	Versión afectada	Versión parcheada
Cisco Secure Email Gateway	Todas las versiones de AsyncOS si cumplen con las condiciones de configuración vulnerables	Consultar el informe de Cisco: Cisco Security Advisories
Cisco Secure Email and Web Manager

Recomendaciones

• En caso de contar con alguna de las versiones afectadas por la vulnerabilidad siga las recomendaciones y actualice a las versiones parcheadas.
• Restaurar los dispositivos afectados.
• Limitar el acceso a internet y restringir conexiones a hosts confiables.
• Deshabilitar funciones no usadas.
• Usar métodos de autenticación como SAML o LDAP.
• Usar certificados SSL o TLS.
• Implementar firewalls de por medio para filtrar tráfico.
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

Referencias

1. Cisco. (2025, Diciembre 17). Reports About Cyberattacks Against Cisco Secure Email Gateway And Cisco Secure Email and Web Manager. Recuperado el 18 de diciembre de 2025, en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4#vp
2. Galtan, S. (2025, Diciembre 17). Cisco warns of unpatched AsyncOS zero-day exploited in attacks. Bleeping Computer. Recuperado el 18 de diciembre de 2025, en: https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/
3. Kovacs, E. (2025, Diciembre 18). China-Linked Hackers Exploiting Zero-Day in Cisco Security Gear. Security Week. Recuperado el 18 de diciembre de 2025, en: https://www.securityweek.com/china-linked-hackers-exploiting-zero-day-in-cisco-security-gear/
4. Lakshmanan, R. (2025, Diciembre 18). Cisco Warns of Active Attacks Exploiting Unpatched 0-Day in AsyncOS Email Security Appliances. The Hackers News. Recuperado el 18 de diciembre de 2025, en: https://thehackernews.com/2025/12/cisco-warns-of-active-attacks.html

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios