MÁXIMA ALERTA: CISCO PARCHEA 0-DAY (CVSS 10.0) EXPLOTADO POR APT CHINA EN SECURE EMAIL GATEWAY

Fecha: 19 de enero de 2026



Nivel de Impacto: Crítico



Cisco ha lanzado parches críticos para corregir una vulnerabilidad de día cero en Cisco Secure Email Gateway (SEG) y Secure Email and Web Manager. La falla, identificada como CVE-2025-20393, permite la ejecución remota de comandos (RCE) con privilegios de root. Se ha confirmado que el grupo APT vinculado a China, UAT-9686, ha estado explotando activamente este fallo desde noviembre de 2025 para desplegar backdoors y herramientas de persistencia.

Análisis de la Amenaza: El Modus Operandi de UAT-9686

La vulnerabilidad reside en una validación insuficiente de solicitudes HTTP dentro de la función de Cuarentena de Spam del software Cisco AsyncOS. Un atacante puede aprovechar esta debilidad para tomar control total del sistema operativo subyacente.

Condiciones para la explotación:

Ejecutar una versión vulnerable de Cisco AsyncOS.

Tener habilitada la función de Cuarentena de Spam.

Que dicha función esté expuesta directamente a Internet.

Herramientas detectadas en el ataque:

Los investigadores han identificado que los atacantes instalan un ecosistema de malware sofisticado una vez que obtienen acceso:

AquaShell: Una puerta trasera ligera en Python para ejecución de comandos.

ReverseSSH (AquaTunnel) y Chisel: Herramientas para crear túneles cifrados y movimiento lateral.

AquaPurge: Una utilidad diseñada específicamente para limpiar registros (logs) y borrar rastros de la intrusión.

Versiones Afectadas y Parches Disponibles

Cisco ha incluido en estas actualizaciones mecanismos para eliminar automáticamente los rastros de persistencia instalados por los atacantes.

Recomendaciones de Seguridad (Hardening)

Además de la actualización inmediata, Cisco insta a los administradores a reforzar la postura de seguridad de sus dispositivos:

  • Restringir el acceso: Colocar los dispositivos detrás de un firewall y limitar el acceso desde redes no seguras.
  • Deshabilitar servicios: Apagar HTTP para el portal de administración y cualquier servicio de red innecesario.
  • Autenticación Robusta: Implementar SAML o LDAP para la gestión de usuarios.
  • Monitoreo: Vigilar los logs web en busca de tráfico inusual hacia o desde los dispositivos de seguridad.

Referencias:


CVE-2025-20393

Estadísticas de Incidentes

Diciembre 2025

VER TODAS

Boletines de Seguridad
Crítico
MÁXIMA ALERTA: CISCO PARCHEA 0-DAY (CVSS 10.0) EXPLOTADO POR APT CHINA EN SECURE EMAIL GATEWAY

Cisco ha lanzado parches críticos para corregir una vulnerabilidad de día cero en Cisco Secure Email Gateway (SEG) y Secure Email and Web Manager. La falla, identificada como CVE-2025-20393, permite la ejecución remota de comandos (RCE) con privilegi

Crítico
ALERTA EN LINUX: VULNERABILIDAD CRÍTICA EN TLP PERMITE A HACKERS SALTARSE LA AUTENTICACIÓN

Se ha detectado un fallo de seguridad en la popular herramienta de ahorro de batería TLP. La vulnerabilidad, que afecta a sistemas multiusuario, permite manipular configuraciones de energía sin permisos de administrador.

VER TODOS