Cisco ha alertado a los usuarios sobre una falla de máxima gravedad de día cero en el software Cisco AsyncOS, que ha sido explotada activamente por un actor de amenazas persistentes avanzadas (APT) del nexo de China con el nombre en código UAT-9686 en ataques dirigidos contra Cisco Secure Email Gateway y Cisco Secure Email and Web Manager.
La empresa de equipos de redes dijo que se enteró de la campaña de intrusión el 10 de diciembre de 2025 y que había seleccionado un «subconjunto limitado de dispositivos» con ciertos puertos abiertos a Internet. Actualmente no se sabe cuántos clientes están afectados.
«Este ataque permite a los actores de amenazas ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado», dijo Cisco dijo en un aviso. «La investigación en curso ha revelado pruebas de que los actores de las amenazas utilizan un mecanismo de persistencia para mantener cierto grado de control sobre los aparatos comprometidos».
La vulnerabilidad, que aún no ha sido reparada, se rastrea como CVE-2025-20393 , y tiene una puntuación CVSS de 10,0. Se trata de un caso de validación incorrecta de las entradas, que permite a los atacantes ejecutar instrucciones malintencionadas con privilegios elevados en el sistema operativo subyacente.
Todas las versiones del software Cisco AsyncOS se ven afectadas. Sin embargo, para que la explotación se lleve a cabo con éxito, deben cumplirse las siguientes condiciones para las versiones físicas y virtuales de los dispositivos Cisco Secure Email Gateway y Cisco Secure Email and Web Manager:
- El dispositivo está configurado con la función de cuarentena de correo no deseado
- La función de cuarentena de spam está expuesta y se puede acceder a ella desde Internet
Vale la pena señalar que la función de cuarentena de spam no está habilitada de forma predeterminada. Para comprobar si está habilitada, se recomienda a los usuarios que sigan los pasos -
- Conéctese a la interfaz de administración web
- Vaya a Red > Interfaces IP > [Seleccione la interfaz en la que está configurada la cuarentena de spam] (para Secure Email Gateway) o dispositivo de administración > Red > Interfaces IP > [Seleccione la interfaz en la que está configurada la cuarentena de spam] (para Secure Email y Web Manager)
- Si la opción Cuarentena de spam está marcada, la función está habilitada
El actividad de explotación observado por Cisco se remonta al menos a finales de noviembre de 2025, cuando el UAT-9686 convirtió en arma la vulnerabilidad para lanzar herramientas de construcción de túneles como SSH inverso (también conocido como AquaTunnel) y cincel , así como una utilidad de limpieza de troncos llamada AquaPurge. El uso de AquaTunnel se ha asociado anteriormente con grupos de hackers chinos como APARTAMENTO 41 y UNC5174 .
También se implementa en los ataques una puerta trasera ligera de Python denominada AquaShell que es capaz de recibir comandos codificados y ejecutarlos.
«Escucha pasivamente las solicitudes HTTP POST no autenticadas que contienen datos especialmente diseñados», Cisco dijo . «Si se identifica dicha solicitud, la puerta trasera intentará analizar el contenido mediante una rutina de decodificación personalizada y ejecutarlo en el shell del sistema».
En ausencia de un parche, se recomienda a los usuarios restaurar sus dispositivos a una configuración segura, limitar el acceso desde Internet, proteger los dispositivos detrás de un firewall para permitir el tráfico solo desde hosts confiables, separar las funciones de correo y administración en interfaces de red independientes, monitorear el tráfico de registros web para detectar cualquier tráfico inesperado y deshabilitar HTTP para el portal de administración principal.
También se recomienda desactivar cualquier servicio de red que no sea necesario, utilice Strong métodos de autenticación de usuario final como SAML o LDAP, y cambie la contraseña de administrador predeterminada por una variante más segura.
«En caso de que se confirme el compromiso, la reconstrucción de los dispositivos es, actualmente, la única opción viable para erradicar del dispositivo el mecanismo de persistencia del actor de la amenaza», afirma la empresa.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) a agregar CVE-2025-20393 a sus vulnerabilidades explotadas conocidas ( KEV ), que exige a las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicar las mitigaciones necesarias antes del 24 de diciembre de 2025 para proteger sus redes.
La revelación se produce cuando GreyNoise afirma haber detectado una «campaña coordinada y automatizada basada en credenciales» dirigida a la infraestructura de autenticación VPN empresarial, específicamente a investigar los portales GlobalProtect de Palo Alto Networks y Cisco SSL VPN expuestos o débilmente protegidos.
Se estima que más de 10 000 direcciones IP únicas intentaron iniciar sesión automáticamente en los portales de GlobalProtect ubicados en EE. UU., Pakistán y México mediante combinaciones comunes de nombre de usuario y contraseña el 11 de diciembre de 2025. El 12 de diciembre de 2025, se registró un aumento similar en los intentos oportunistas de inicio de sesión por fuerza bruta contra los terminales SSL VPN de Cisco. La actividad se originó en 1273 direcciones IP.
«La actividad refleja intentos de inicio de sesión guionados a gran escala, no la explotación de vulnerabilidades», dijo la firma de inteligencia de amenazas dijo . «El uso y el tiempo constantes de la infraestructura indican que una sola campaña gira en varias plataformas de VPN».