MÁXIMA ALERTA: CISCO PARCHEA 0-DAY (CVSS 10.0) EXPLOTADO POR APT CHINA EN SECURE EMAIL GATEWAY

Fecha: 19 de enero de 2026



Nivel de Impacto: Crítico



Cisco ha lanzado parches críticos para corregir una vulnerabilidad de día cero en Cisco Secure Email Gateway (SEG) y Secure Email and Web Manager. La falla, identificada como CVE-2025-20393, permite la ejecución remota de comandos (RCE) con privilegios de root. Se ha confirmado que el grupo APT vinculado a China, UAT-9686, ha estado explotando activamente este fallo desde noviembre de 2025 para desplegar backdoors y herramientas de persistencia.

Análisis de la Amenaza: El Modus Operandi de UAT-9686

La vulnerabilidad reside en una validación insuficiente de solicitudes HTTP dentro de la función de Cuarentena de Spam del software Cisco AsyncOS. Un atacante puede aprovechar esta debilidad para tomar control total del sistema operativo subyacente.

Condiciones para la explotación:

Ejecutar una versión vulnerable de Cisco AsyncOS.

Tener habilitada la función de Cuarentena de Spam.

Que dicha función esté expuesta directamente a Internet.

Herramientas detectadas en el ataque:

Los investigadores han identificado que los atacantes instalan un ecosistema de malware sofisticado una vez que obtienen acceso:

AquaShell: Una puerta trasera ligera en Python para ejecución de comandos.

ReverseSSH (AquaTunnel) y Chisel: Herramientas para crear túneles cifrados y movimiento lateral.

AquaPurge: Una utilidad diseñada específicamente para limpiar registros (logs) y borrar rastros de la intrusión.

Versiones Afectadas y Parches Disponibles

Cisco ha incluido en estas actualizaciones mecanismos para eliminar automáticamente los rastros de persistencia instalados por los atacantes.

Recomendaciones de Seguridad (Hardening)

Además de la actualización inmediata, Cisco insta a los administradores a reforzar la postura de seguridad de sus dispositivos:

  • Restringir el acceso: Colocar los dispositivos detrás de un firewall y limitar el acceso desde redes no seguras.
  • Deshabilitar servicios: Apagar HTTP para el portal de administración y cualquier servicio de red innecesario.
  • Autenticación Robusta: Implementar SAML o LDAP para la gestión de usuarios.
  • Monitoreo: Vigilar los logs web en busca de tráfico inusual hacia o desde los dispositivos de seguridad.

Referencias:


CVE-2025-20393

Estadísticas de Incidentes

Marzo 2026

VER TODAS

Boletines de Seguridad
Crítico
🚨 ALERTA CRÍTICA: VULNERABILIDAD DE EJECUCIÓN DE CÓDIGO EN PROTOBUF.JS (CVE-2026-41242)

Se ha revelado una vulnerabilidad de Inyección de Código de extrema gravedad en la popular librería protobufjs, utilizada para compilar definiciones de Protocol Buffers en funciones de JavaScript.

Crítico
EL CABALLO DE TROYA EN TU NAVEGADOR: EL FRAUDE DE LAS EXTENSIONES DE IA

A principios de marzo, el ecosistema de la Chrome Web Store se vio sacudido por el descubrimiento de una red de extensiones maliciosas diseñadas para parasitar el auge de plataformas como ChatGPT y DeepSeek.

VER TODOS