Cisco ha comunicado oficialmente la existencia de una vulnerabilidad 0-day crítica en Cisco AsyncOS, actualmente explotada de forma activa contra dispositivos Cisco Secure Email Gateway (SEG) y Cisco Secure Email and Web Manager (SEWM). Dado que todavía no existe parche disponible, la situación exige una respuesta inmediata por parte de administradores de sistemas y equipos de seguridad.
Vulnerabilidad 0-day CVE-2025-20393 en Cisco AsyncOS: alcance y condiciones de explotación
La falla, identificada como CVE-2025-20393, permite a un atacante ejecutar comandos arbitrarios con privilegios de root en dispositivos afectados, lo que equivale a un control total del sistema. Se trata de una vulnerabilidad 0-day, es decir, un fallo que se explota en entornos reales antes de que el fabricante publique una corrección.
No todas las instalaciones de SEG y SEWM son vulnerables. Según Cisco, el riesgo se concentra en despliegues donde está habilitada la función de cuarentena de spam y donde el portal web o el puerto de cuarentena son accesibles directamente desde Internet. Esta configuración es habitual en organizaciones que permiten a los usuarios gestionar por sí mismos el correo retenido en cuarentena.
UAT-9686: grupo APT vinculado a la explotación de CVE-2025-20393
Los analistas de Cisco Talos atribuyen la explotación de esta vulnerabilidad a una amenaza persistente avanzada (APT) de origen chino, rastreada como UAT-9686. El análisis técnico indica, con un nivel de confianza moderado, similitudes con otros operadores chinos conocidos, tanto en las herramientas utilizadas como en la infraestructura de comando y control.
Tras comprometer un SEG o SEWM, los atacantes despliegan mecanismos de persistencia y túneles encubiertos, entre ellos el backdoor AquaShell y las herramientas AquaTunnel y Chisel para establecer túneles SSH inversos que eluden los controles perimetrales. Para dificultar la detección se utiliza la utilidad de borrado de evidencias AquaPurge, que limpia registros y rastros de actividad. AquaTunnel ya había sido vinculada previamente a otros grupos chinos como UNC5174 y APT41. Cisco ha publicado los indicadores de compromiso (IoC) relacionados en GitHub, lo que permite integrarlos en SIEM, IDS/IPS y otras plataformas de monitorización.
Cronología de la campaña y por qué un gateway de correo es un activo crítico
De acuerdo con Cisco Talos, la explotación activa de CVE-2025-20393 se detectó el 10 de diciembre de 2025, aunque los indicios apuntan a que la campaña habría comenzado al menos a finales de noviembre. Este desfase entre el inicio de la intrusión y su detección es consistente con las tácticas de las APT, que buscan permanecer ocultas durante semanas para maximizar la recolección de información.
El impacto es especialmente relevante porque el gateway de correo corporativo suele considerarse un sistema “de servicio” y no siempre se gestiona como un activo de alto valor. Sin embargo, un SEG o SEWM comprometido se convierte en una puerta de entrada privilegiada a la red interna: permite interceptar, modificar o redirigir correos electrónicos, robar conversaciones sensibles e inyectar malware en hilos legítimos, facilitando ataques de phishing interno, toma de cuentas y movimiento lateral. Informes de referencia en la industria, como los de Verizon y otros proveedores de inteligencia de amenazas, destacan año tras año que el correo electrónico continúa siendo uno de los principales vectores de intrusión inicial.
Dispositivos Cisco afectados por CVE-2025-20393
La vulnerabilidad 0-day de Cisco AsyncOS afecta principalmente a:
— Cisco Secure Email Gateway (SEG) que ejecuta AsyncOS;
— Cisco Secure Email and Web Manager (SEWM) con cuarentena de spam habilitada y accesible desde redes externas, especialmente Internet.
En presencia de estas condiciones, el gateway deja de ser un componente puramente perimetral para convertirse en un objetivo estratégico dentro de la cadena de ataque, con potencial para comprometer múltiples sistemas aguas abajo.
Medidas de mitigación para Cisco Secure Email Gateway y SEWM
Reducción de superficie de ataque y segmentación de red
Mientras el parche oficial no esté disponible, la principal prioridad es limitar al máximo la exposición:
— Bloquear el acceso directo desde Internet a la consola web de administración y a los puertos de cuarentena de spam;
— Restringir el acceso de gestión a hosts de confianza (estaciones de administración dedicadas o bastion hosts controlados);
— Ubicar SEG/SEWM detrás de cortafuegos con políticas estrictas de filtrado de tráfico entrante y saliente;
— Segregar la red, separando en VLAN o segmentos distintos el tráfico de correo, la gestión y otros servicios críticos, alineándose con enfoques de Zero Trust.
Refuerzo de autenticación, actualización y monitorización de seguridad
Además de las medidas de red, Cisco aconseja endurecer la superficie de gestión y mejorar la capacidad de detección:
— Deshabilitar servicios y interfaces innecesarios para reducir puntos de entrada potenciales;
— Mantener los dispositivos totalmente actualizados con los últimos parches y versiones disponibles de AsyncOS;
— Integrar el acceso administrativo con mecanismos de autenticación corporativa (por ejemplo SAML o LDAP) y habilitar autenticación multifactor (MFA) siempre que sea posible;
— Eliminar credenciales por defecto y usar contraseñas únicas y robustas para todas las cuentas privilegiadas;
— Garantizar que el tráfico de administración esté cifrado mediante SSL/TLS y protocolos seguros (HTTPS, SSH endurecido);
— Supervisar de forma activa los registros del dispositivo y del tráfico de red, con especial atención a conexiones SSH inusuales y patrones de túneles salientes;
— Conservar los logs a largo plazo para posibilitar análisis forense retroactivo en caso de incidente.
Ante sospechas de compromiso, se recomienda a las organizaciones abrir un caso con el Cisco Technical Assistance Center (TAC) y seguir un plan estructurado de respuesta a incidentes que incluya aislamiento del equipo, rotación de credenciales, revisión de IoC y restauración desde copias de seguridad confiables.
La campaña contra Cisco AsyncOS subraya la necesidad de tratar los gateways de correo como activos de alto valor, aplicando el principio de mínimo privilegio, segmentación rigurosa, auditorías periódicas de configuración y monitorización continua. Revisar sin demora las configuraciones de SEG y SEWM, implementar las mitigaciones propuestas e integrar de forma sistemática la inteligencia de amenazas en los procesos de seguridad ayudará a reducir de forma significativa el riesgo de explotación de vulnerabilidades 0-day presentes y futuras.
