Cisco el jueves publicado actualizaciones de seguridad para una falla de seguridad de máxima gravedad que afectó al software Cisco AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager, casi un mes después de que la empresa revelara que un actor de amenazas persistentes avanzadas (APT) del nexo de China con el nombre en código UAT-9686 lo había explotado como un día cero.
La vulnerabilidad, rastreada como CVE-2025-20393 (puntuación CVSS: 10.0), es una falla en la ejecución remota de comandos que surge como resultado de una validación insuficiente de las solicitudes HTTP por parte de la función de cuarentena de spam. La explotación satisfactoria del defecto podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de usuario root en el sistema operativo subyacente de un dispositivo afectado.
Sin embargo, para que el ataque funcione, deben cumplirse tres condiciones:
- El dispositivo ejecuta una versión vulnerable del software Cisco AsyncOS
- El dispositivo está configurado con la función de cuarentena de correo no deseado
- La función de cuarentena de spam está expuesta y se puede acceder a ella desde Internet
El mes pasado, la principal empresa de equipos de redes revelada que encontró pruebas de que el UAT-9686 explotó la vulnerabilidad ya a finales de noviembre de 2025 para lanzar herramientas de construcción de túneles como ReversesSH (también conocido como AquaTunnel) y Chisel, y una utilidad de limpieza de troncos llamada AquaPurge.
Los ataques también se caracterizan por el despliegue de una puerta trasera ligera de Python denominada AquaShell que es capaz de recibir comandos codificados y ejecutarlos.
La vulnerabilidad ya se ha solucionado en las siguientes versiones, además de eliminar los mecanismos de persistencia que se identificaron en esta campaña de ataque e instalados en los dispositivos:
Gateway de seguridad de correo electrónico de Cisco
- Versión 14.2 y anteriores del software Cisco AsyncOS (corregido en 15.0.5-016)
- Versión 15.0 del software Cisco AsyncOS (corregido en 15.0.5-016)
- Versión 15.5 del software Cisco AsyncOS (corregido en 15.5.4-012)
- Versión 16.0 del software Cisco AsyncOS (corregido en 16.0.4-016)
Gestor seguro de correo electrónico y web
- Versión 15.0 y anteriores del software Cisco AsyncOS (corregido en 15.0.2-007)
- Versión 15.5 del software Cisco AsyncOS (corregido en 15.5.4-007)
- Versión 16.0 del software Cisco AsyncOS (corregido en 16.0.4-010)
Además, Cisco también insta a los clientes a seguir las directrices más estrictas para evitar el acceso desde redes no seguras, proteger los dispositivos detrás de un firewall, monitorear el tráfico de registros web para detectar cualquier tráfico inesperado hacia/desde los dispositivos, deshabilitar HTTP en el portal de administración principal, deshabilitar cualquier servicio de red que no sea necesario, aplicar una forma sólida de autenticación de usuario final en los dispositivos (por ejemplo, SAML o LDAP) y cambiar la contraseña de administrador predeterminada por una variante más segura.
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS