Por Mid 
Una vulnerabilidad Cisco AsyncOS crítica con puntuación CVSS 10.0 ha sido explotada activamente por el grupo APT chino UAT-9686 desde finales de noviembre de 2025. La vulnerabilidad Cisco AsyncOS CVE-2025-20393 permite a atacantes remotos ejecutar comandos arbitrarios con privilegios root en dispositivos Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. Cisco detectó la campaña de ciberataque el 10 de diciembre de 2025, revelando que los atacantes habían comprometido sistemas durante al menos 40 días antes de su detección, desplegando backdoors sofisticados como AquaShell y herramientas de tunelización como ReverseSSH.
¿Qué es la Vulnerabilidad Cisco AsyncOS CVE-2025-20393?
La vulnerabilidad Cisco AsyncOS CVE-2025-20393 es un fallo de validación de entrada impropia (CWE-20) que afecta al software AsyncOS utilizado en productos de seguridad de correo electrónico de Cisco. Con una calificación CVSS de 10.0, esta vulnerabilidad Cisco AsyncOS representa la máxima severidad posible en la escala de vulnerabilidades.
El fallo reside en la interfaz web de Spam Quarantine de AsyncOS, donde la validación inadecuada de datos de entrada permite a atacantes no autenticados enviar solicitudes especialmente diseñadas que resultan en la ejecución de comandos arbitrarios como usuario root. Esta vulnerabilidad Cisco AsyncOS no requiere autenticación previa, lo que la convierte en un vector de ataque extremadamente peligroso para organizaciones que dependen de estos dispositivos para su seguridad perimetral de correo electrónico.
Productos Afectados por la Vulnerabilidad Cisco AsyncOS
La vulnerabilidad Cisco AsyncOS afecta a los siguientes productos de Cisco en todas sus versiones:
- Cisco Secure Email Gateway (versiones físicas y virtuales)
- Cisco Secure Email and Web Manager (todas las configuraciones)
- Todas las versiones de AsyncOS Software instaladas en estos dispositivos
Sin embargo, no todos los dispositivos son vulnerables automáticamente. Para que la vulnerabilidad Cisco AsyncOS sea explotable, deben cumplirse dos condiciones específicas:
- La función Spam Quarantine debe estar configurada y habilitada en el dispositivo
- La interfaz de Spam Quarantine debe estar expuesta y accesible desde internet
Es importante destacar que la función Spam Quarantine no está habilitada por defecto, y las guías de implementación de Cisco no recomiendan exponerla directamente a internet. Sin embargo, muchas organizaciones han configurado esta funcionalidad para permitir que los usuarios accedan a sus correos en cuarentena desde fuera de la red corporativa, creando sin saberlo una superficie de ataque crítica. Esta configuración insegura es precisamente lo que los atacantes del grupo APT chino UAT-9686 han estado explotando desde noviembre de 2025.
Grupo APT UAT-9686: Los Atacantes Detrás de la Vulnerabilidad Cisco AsyncOS
El grupo de amenaza persistente avanzada identificado como UAT-9686 es el actor responsable de la explotación activa de la vulnerabilidad Cisco AsyncOS. Cisco Talos Intelligence ha atribuido esta campaña a un actor vinculado al estado chino, basándose en las tácticas, técnicas y procedimientos (TTPs) observados, así como en las herramientas utilizadas durante los ataques.
Las herramientas empleadas por UAT-9686, particularmente AquaTunnel (también conocido como ReverseSSH), se alinean con las utilizadas anteriormente por grupos APT chinos conocidos como APT41 y UNC5174. Estos grupos son conocidos por llevar a cabo campañas de espionaje cibernético alineadas con los intereses estratégicos del gobierno chino, típicamente dirigidas a:
- Agencias gubernamentales y ministerios
- Grandes corporaciones multinacionales
- Empresas de tecnología y telecomunicaciones
- Infraestructuras críticas (energía, transporte, salud)
La sofisticación del ataque y la implementación de múltiples herramientas de persistencia sugieren que UAT-9686 no busca compromisos oportunistas, sino que ejecuta operaciones de espionaje cibernético dirigidas y planificadas meticulosamente. Similar a otros ataques de vulnerabilidades zero-day recientes, estos actores estatales priorizan objetivos de alto valor que pueden proporcionar acceso a información clasificada, propiedad intelectual valiosa o inteligencia estratégica.
Timeline del Ataque: 40 Días de Explotación de la Vulnerabilidad Cisco AsyncOS
El timeline de explotación de la vulnerabilidad Cisco AsyncOS revela una campaña de ciberataque prolongada y altamente coordinada:
- Finales de noviembre de 2025: Inicio de la explotación activa de la vulnerabilidad Cisco AsyncOS CVE-2025-20393 por parte de UAT-9686. Los atacantes comenzaron a comprometer dispositivos Cisco Secure Email Gateway expuestos a internet.
- 10 de diciembre de 2025: Cisco detecta la campaña de ciberataque activa contra sus productos de seguridad de correo electrónico. La detección ocurrió aproximadamente 40 días después del inicio de la explotación.
- 16 de diciembre de 2025: Cisco publica un aviso de seguridad oficial (cisco-sa-sma-attack-N9bf4) advirtiendo sobre la explotación activa del zero-day.
- 17 de diciembre de 2025: CISA (Cybersecurity and Infrastructure Security Agency) añade CVE-2025-20393 al catálogo de Vulnerabilidades Explotadas Conocidas (KEV), ordenando a las agencias federales aplicar mitigaciones antes del 24 de diciembre de 2025.
- 18 de diciembre de 2025: Cisco lanza parches de seguridad para corregir la vulnerabilidad Cisco AsyncOS en todas las versiones afectadas.
Este extenso período de explotación no detectada (aproximadamente 40 días) es particularmente preocupante porque permitió a los atacantes establecer múltiples mecanismos de persistencia en los sistemas comprometidos. Durante este tiempo, UAT-9686 tuvo acceso completo con privilegios root a los dispositivos afectados, lo que potencialmente les permitió interceptar comunicaciones de correo electrónico, exfiltrar datos sensibles y utilizar los dispositivos comprometidos como puntos de entrada para ataques laterales dentro de las redes corporativas.
Malware y Herramientas Utilizadas en la Explotación de la Vulnerabilidad Cisco AsyncOS
La campaña de explotación de la vulnerabilidad Cisco AsyncOS por parte de UAT-9686 involucró el despliegue de un arsenal sofisticado de herramientas maliciosas diseñadas para mantener persistencia, establecer comunicaciones encubiertas y ocultar la presencia de los atacantes. Las herramientas identificadas por Cisco Talos incluyen:
AquaShell: Backdoor Python Ligero
AquaShell es un backdoor escrito en Python que se incrusta en archivos existentes dentro del servidor web basado en Python del dispositivo comprometido. Esta técnica de ocultación dificulta su detección mediante análisis de integridad de archivos convencionales. AquaShell opera como un listener HTTP que espera solicitudes POST no autenticadas conteniendo comandos codificados, que posteriormente ejecuta en el shell del sistema con privilegios root. Esta capacidad permite a los atacantes mantener acceso persistente incluso después de reinicios del sistema.
AquaTunnel/ReverseSSH: Herramientas de Tunelización
AquaTunnel (también conocido como ReverseSSH) crea una conexión SSH inversa desde el dispositivo comprometido hacia un servidor controlado por los atacantes. Esta técnica de tunelización inversa permite a UAT-9686 mantener acceso remoto no autorizado incluso cuando los sistemas están detrás de firewalls o configuraciones NAT (Network Address Translation) que normalmente bloquearían conexiones entrantes directas. El uso de SSH como protocolo de transporte también ayuda a que el tráfico malicioso se mezcle con el tráfico legítimo de administración, evadiendo soluciones de detección basadas en firmas.
Chisel: Tunelización Adicional
Chisel es una herramienta de tunelización HTTP de código abierto que los atacantes utilizaron como mecanismo de backup para establecer canales de comunicación alternativos. Su uso junto con AquaTunnel demuestra la intención de los atacantes de mantener múltiples vías de acceso redundantes para asegurar la continuidad de sus operaciones incluso si uno de los canales es descubierto y bloqueado.
AquaPurge: Utilidad de Limpieza de Logs
AquaPurge es una herramienta especializada diseñada para eliminar registros (logs) que pudieran revelar la presencia o actividades de los atacantes. Esta utilidad de limpieza de logs es crucial para mantener operaciones encubiertas a largo plazo, ya que elimina evidencia forense que los equipos de respuesta a incidentes podrían utilizar para detectar, analizar y remediar la intrusión. El uso de AquaPurge es particularmente preocupante porque sugiere que los atacantes planeaban mantener acceso persistente durante períodos prolongados sin ser detectados.
La combinación de estas herramientas representa un enfoque multicapa para asegurar persistencia, comunicaciones encubiertas y evasión de detección, características típicas de operaciones APT sofisticadas respaldadas por estados-nación. Este nivel de sofisticación es comparable al observado en otros ataques de ransomware avanzados y campañas de espionaje cibernético.
Impacto y Alcance de la Vulnerabilidad Cisco AsyncOS
El impacto de la vulnerabilidad Cisco AsyncOS CVE-2025-20393 es extraordinariamente severo debido a varios factores críticos:
Ejecución remota de código como root: La capacidad de ejecutar comandos arbitrarios con el nivel de privilegio más alto (root) significa que los atacantes tienen control total sobre el dispositivo comprometido. Esto incluye la capacidad de leer, modificar o eliminar cualquier dato, instalar malware adicional, modificar configuraciones de seguridad y utilizar el dispositivo como punto de entrada para ataques laterales dentro de la red corporativa.
Posición privilegiada en la arquitectura de seguridad: Los dispositivos Cisco Secure Email Gateway típicamente ocupan posiciones críticas en el perímetro de seguridad de las organizaciones, actuando como la primera línea de defensa contra amenazas transmitidas por correo electrónico. Su compromiso no solo neutraliza esta protección, sino que también proporciona a los atacantes acceso a todo el tráfico de correo electrónico que pasa por el dispositivo, incluyendo comunicaciones confidenciales, credenciales y adjuntos sensibles.
Espionaje de comunicaciones: Con acceso root a un gateway de correo electrónico, UAT-9686 pudo interceptar, leer y potencialmente modificar comunicaciones de correo electrónico en tránsito. Esto representa un riesgo significativo de espionaje corporativo y gubernamental, especialmente considerando que el correo electrónico sigue siendo uno de los canales principales de comunicación empresarial.
Aunque Cisco no ha revelado públicamente el número exacto de organizaciones afectadas, la compañía indicó que la explotación afectó a un «subconjunto limitado de dispositivos con ciertos puertos abiertos a internet». Sin embargo, dado que los productos Cisco Secure Email son ampliamente desplegados en organizaciones gubernamentales, corporaciones Fortune 500, instituciones financieras y proveedores de infraestructura crítica, incluso un «subconjunto limitado» podría representar cientos de organizaciones de alto valor comprometidas durante el período de 40 días de explotación no detectada.
Mitigación y Recomendaciones para la Vulnerabilidad Cisco AsyncOS
Cisco ha publicado parches de seguridad que corrigen la vulnerabilidad Cisco AsyncOS CVE-2025-20393. Las organizaciones que utilizan productos afectados deben tomar las siguientes medidas inmediatamente:
Acciones Inmediatas Requeridas
- Aplicar parches de seguridad: Actualizar todos los dispositivos Cisco Secure Email Gateway y Cisco Secure Email and Web Manager a las versiones parcheadas más recientes proporcionadas por Cisco.
- Restringir acceso a internet: Bloquear inmediatamente el acceso desde internet a la interfaz de Spam Quarantine utilizando reglas de firewall, permitiendo únicamente conexiones desde rangos de IP autorizados.
- Segregación de funciones: Separar las funciones de correo electrónico y administración en interfaces de red distintas, preferiblemente con la interfaz de administración únicamente accesible desde la red de gestión interna.
- Investigar compromisos: Para dispositivos que tenían Spam Quarantine expuesto a internet antes de aplicar mitigaciones, realizar análisis forense completo buscando indicadores de compromiso (IOCs) publicados por Cisco Talos.
Reconstrucción de Dispositivos Comprometidos
Cisco recomienda la reconstrucción completa de cualquier dispositivo confirmado como comprometido. Esto se debe a que las herramientas de persistencia desplegadas por UAT-9686, especialmente AquaShell embebido en archivos del sistema, pueden sobrevivir a actualizaciones de software convencionales. La reconstrucción completa implica:
- Respaldo de configuraciones y datos necesarios
- Reinstalación completa del sistema operativo AsyncOS desde medios oficiales
- Aplicación de todos los parches de seguridad más recientes
- Restauración de configuraciones (después de revisarlas para detectar modificaciones maliciosas)
- Cambio de todas las credenciales administrativas
Mejoras de Configuración de Seguridad
- Autenticación multifactor: Implementar autenticación SAML o LDAP con MFA para acceso administrativo
- Monitoreo de tráfico web: Establecer monitoreo continuo de tráfico HTTP/HTTPS anómalo hacia/desde los dispositivos
- Deshabilitar servicios innecesarios: Revisar y deshabilitar todas las funcionalidades y servicios que no sean estrictamente necesarios
- Cambio de credenciales por defecto: Asegurar que ningún dispositivo utilice credenciales administrativas por defecto
CISA ha ordenado a todas las agencias federales del Poder Ejecutivo Civil (FCEB) implementar estas mitigaciones antes del 24 de diciembre de 2025, lo que subraya la urgencia y criticidad de esta vulnerabilidad Cisco AsyncOS.
Lecciones Aprendidas y Contexto de Seguridad de la Vulnerabilidad Cisco AsyncOS
La explotación de la vulnerabilidad Cisco AsyncOS CVE-2025-20393 ilustra varias tendencias preocupantes en el panorama de ciberseguridad actual:
Aumento de ataques a dispositivos perimetrales: Los dispositivos de seguridad perimetral (WAF, VPN SSL, gateways de correo) se han convertido en objetivos prioritarios para grupos APT porque su compromiso proporciona acceso privilegiado a redes internas completas. Esta tendencia se ha observado en múltiples campañas recientes, incluyendo la explotación de vulnerabilidades en FortiGate y otros dispositivos de infraestructura.
Sofisticación creciente de grupos APT estatales: La campaña de UAT-9686 demuestra capacidades avanzadas de desarrollo de exploits, evasión de detección y operaciones encubiertas prolongadas. El uso de múltiples herramientas personalizadas (AquaShell, AquaTunnel, AquaPurge) sugiere inversión significativa de recursos en el desarrollo de capacidades ofensivas cibernéticas.
Importancia de la configuración segura: Aunque la vulnerabilidad Cisco AsyncOS es inherentemente crítica, solo era explotable en dispositivos donde Spam Quarantine estaba expuesto a internet, una configuración no recomendada por Cisco. Esto enfatiza que la seguridad efectiva requiere tanto software actualizado como configuraciones apropiadas siguiendo mejores prácticas.
Necesidad de detección proactiva: El período de 40 días de explotación no detectada resalta la importancia de capacidades robustas de monitoreo, detección de anomalías y respuesta a incidentes. Las organizaciones deben invertir en soluciones EDR (Endpoint Detection and Response) y NDR (Network Detection and Response) capaces de identificar comportamientos anómalos incluso cuando los atacantes utilizan técnicas sofisticadas de evasión.
Preguntas Frecuentes sobre la Vulnerabilidad Cisco AsyncOS CVE-2025-20393
¿Qué es CVE-2025-20393?
CVE-2025-20393 es una vulnerabilidad Cisco AsyncOS crítica con puntuación CVSS 10.0 que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios con privilegios root en dispositivos Cisco Secure Email Gateway y Cisco Secure Email and Web Manager que tienen la función Spam Quarantine expuesta a internet.
¿Quién está explotando la vulnerabilidad Cisco AsyncOS?
El grupo de amenaza persistente avanzada UAT-9686, vinculado al estado chino, ha estado explotando activamente la vulnerabilidad Cisco AsyncOS desde finales de noviembre de 2025. Este grupo APT utiliza herramientas sofisticadas como AquaShell, AquaTunnel y AquaPurge para mantener acceso persistente y ocultar su presencia.
¿Mi dispositivo Cisco es vulnerable?
Su dispositivo es vulnerable a la vulnerabilidad Cisco AsyncOS CVE-2025-20393 solo si cumple dos condiciones: (1) ejecuta AsyncOS en un Cisco Secure Email Gateway o Cisco Secure Email and Web Manager, y (2) tiene la función Spam Quarantine habilitada y accesible desde internet. Si su dispositivo no tiene Spam Quarantine expuesto públicamente, no es explotable mediante este vector de ataque específico.
¿Cuál es el impacto de la vulnerabilidad Cisco AsyncOS?
El impacto es severo: los atacantes obtienen ejecución remota de código con privilegios root, permitiéndoles control completo del dispositivo, intercepción de comunicaciones de correo electrónico, instalación de backdoors persistentes y uso del dispositivo comprometido como punto de entrada para ataques laterales dentro de la red corporativa.
¿Cómo protegerse contra la vulnerabilidad Cisco AsyncOS?
Para protegerse contra la vulnerabilidad Cisco AsyncOS CVE-2025-20393, debe: (1) aplicar inmediatamente los parches de seguridad publicados por Cisco, (2) bloquear el acceso desde internet a la interfaz de Spam Quarantine mediante reglas de firewall, (3) segregar funciones de correo y administración en interfaces de red separadas, y (4) investigar dispositivos previamente expuestos buscando indicadores de compromiso publicados por Cisco Talos.
Conclusión
La vulnerabilidad Cisco AsyncOS CVE-2025-20393 representa uno de los incidentes de seguridad más críticos de finales de 2025. Con una puntuación CVSS máxima de 10.0 y explotación activa confirmada por un grupo APT estatal durante aproximadamente 40 días antes de su detección, esta vulnerabilidad subraya los riesgos significativos que enfrentan las organizaciones cuando dispositivos de seguridad perimetral críticos son comprometidos.
La campaña de UAT-9686 demuestra la sofisticación creciente de actores de amenaza respaldados por estados-nación, que combinan desarrollo avanzado de exploits, herramientas personalizadas de persistencia y técnicas de evasión para mantener acceso prolongado a objetivos de alto valor. El despliegue de herramientas como AquaShell, AquaTunnel y AquaPurge ilustra un enfoque multicapa para asegurar operaciones encubiertas a largo plazo.
Las organizaciones que utilizan productos Cisco Secure Email deben tratar esta vulnerabilidad Cisco AsyncOS con la máxima urgencia, aplicando parches inmediatamente, restringiendo acceso desde internet a interfaces de gestión y realizando investigaciones forenses en dispositivos que podrían haber sido comprometidos. La orden de CISA para que las agencias federales implementen mitigaciones antes del 24 de diciembre de 2025 refleja la severidad crítica de esta amenaza.
Este incidente también sirve como recordatorio importante de que la seguridad efectiva requiere no solo mantener software actualizado, sino también implementar configuraciones seguras siguiendo mejores prácticas, desplegar capacidades robustas de monitoreo y detección, y mantener planes de respuesta a incidentes bien ensayados para identificar y remediar compromisos rápidamente.