Una nueva vulnerabilidad que afecta a Cisco Secure Email Gateway y Cisco Secure Email and Web Manager fue identificada bajo el identificador CVE-2025-20393. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) la incorporó a su Known Exploited Vulnerabilities (KEV) Catalog, un registro que reúne fallas de seguridad que están siendo explotadas activamente en ataques reales y que requieren atención inmediata por parte de las organizaciones.

Se trata de una vulnerabilidad crítica (CVSS 10.0) en el software Cisco AsyncOS, que usan dispositivos como Cisco Secure Email Gateway y Cisco Secure Email and Web Manager para proteger y gestionar el correo electrónico corporativo. Esta falla de validación incorrecta de entradas permite que un atacante remoto, sin autenticación ni credenciales, ejecute comandos arbitrarios con acceso total (root) sobre el sistema afectado si el dispositivo tiene activada y accesible desde internet la función de Spam Quarantine.

Investigadores de Cisco Talos detectaron una campaña de explotación activa atribuida a un actor de amenazas persistente avanzado (APT), identificado como UAT-9686, que estaría aprovechando esta vulnerabilidad desde finales de noviembre de 2025.

En los ataques observados, los agresores no solo logran tomar control del dispositivo, sino que además instalan herramientas avanzadas de persistencia y acceso remoto. Entre ellas se encuentran AquaShell, un backdoor basado en Python que recibe comandos a través de HTTP; AquaTunnel, utilizado para crear túneles reversos y mantener acceso incluso detrás de firewalls; AquaPurge, diseñada para eliminar o manipular registros y dificultar la investigación forense; y Chisel, una herramienta de tunelización que permite profundizar el acceso dentro de la red comprometida.

Cisco ha advertido que estas herramientas permiten no solo la intrusión inicial, sino la persistencia y expansión del acceso, lo que convierte a los dispositivos comprometidos en bases desde las cuales los atacantes pueden moverse lateralmente dentro de una red.

¿Qué pueden hacer las organizaciones mientras no hay parche disponible?

Mientras no exista un parche oficial disponible, los especialistas recomiendan tomar medidas inmediatas para reducir la exposición:

  • Deshabilitar la función de Spam Quarantine si no es estrictamente necesaria, especialmente si el equipo está expuesto a internet.
  • Restringir el acceso externo a los dispositivos mediante firewalls, permitiendo conexiones solo desde redes internas confiables.
  • Segregar el tráfico de gestión y correo electrónico para limitar lo que un atacante pueda hacer si compromete un servicio.
  • Deshabilitar HTTP para el portal principal de administración.
  • Actualizar el appliance a la versión más reciente del software Cisco AsyncOS.
  • Utilizar autenticación fuerte para usuarios finales, como SAML o LDAP.
  • Cambiar la contraseña predeterminada del administrador por una más segura.
  • Implementar SSL/TLS, obteniendo un certificado de una autoridad certificante (CA) o utilizando uno autofirmado.
  • Monitorear activamente registros y tráfico de red en busca de comportamientos inusuales, como conexiones inesperadas o procesos desconocidos.
  • En caso de compromiso confirmado, la única forma segura de erradicar al atacante es restaurar el dispositivo a una configuración segura.

Aunque todavía no hay un parche oficial, Cisco y CISA subrayan que la amenaza es real y está en curso, por lo que la priorización de estas mitigaciones es crucial para evitar que este tipo de ataques tenga consecuencias más graves para la infraestructura de correo electrónico de las organizaciones.

La decisión de CISA de sumar esta falla al KEV refuerza la gravedad del problema. Para las organizaciones que utilizan soluciones de correo de Cisco es urgente revisar configuraciones, aplicar mitigaciones de inmediato y mantenerse atentos a nuevas actualizaciones, porque el riesgo no es futuro, es actual.

IOCs

Si bien los detalles técnicos completos de indicadores de compromiso (IOCs) aún se consolidan, Talos ha publicado listas de hashes de archivos asociados con las herramientas maliciosas y direcciones IP vinculadas a la campaña UAT-9686, que pueden usarse en sistemas de detección para ayudar a identificar intrusiones:

AquaTunnel
2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef

AquaPurge
145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca

Chisel
85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc
172[.]233[.]67[.]176
172[.]237[.]29[.]147
38[.]54[.]56[.]95

Fuentes

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4

https://www.cisa.gov/news-events/alerts/2025/12/17/cisa-adds-three-known-exploited-vulnerabilities-catalog

https://nvd.nist.gov/vuln/detail/CVE-2025-20393

https://blog.talosintelligence.com/uat-9686/