[Actualización 19/01/2026] Ejecución remota de comandos en productos de Cisco
Esta campaña de ataque afecta a Cisco Secure Email Gateway, tanto físico como virtual, y a los dispositivos Cisco Secure Email y Web Manager, tanto físicos como virtuales, cuando se cumplen las dos condiciones siguientes:
- El dispositivo está configurado con la función de cuarentena de spam.
- La función de cuarentena de spam está expuesta y se puede acceder a ella desde Internet.
La función de Cuarentena de Spam no está habilitada de forma predeterminada. Las guías de implementación de estos productos no requieren que este puerto esté expuesto directamente a Internet.
Todas las versiones del software Cisco AsyncOS se ven afectadas por esta campaña de ataque.
[Actualización 19/01/2026]
También están afectados los dispositivos que ejecuten una versión vulnerable de Cisco AsyncOS Software.
La función de cuarentena de spam, no está habilitada por defecto.
Los productos afectados son
- Cisco AsyncOS Software:
- Versiones 14.2 y anteriores;
- 15.0;
- 15.5;
- 16.0.
- Cisco AsyncOS Software:
- Versión 15.0 y anteriores;
- 15.5;
- 16.0.
Cisco ha publicado información sobre una vulnerabilidad de severidad crítica que de ser explotada podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado.
Existe una investigación en curso la cual ha revelado evidencias de un mecanismo de persistencia implementado por los cibercriminales para mantener cierto control sobre los dispositivos comprometidos.
[Actualización 19/01/2026]
Actualizar los productos a alguna de las siguientes versión dependiendo de la versión inicial del producto que se tenga instalada:
- Cisco AsyncOS Software:
- Para versiones 14.2 y anteriores - Actualizar a 15.0.5-016;
- Para 15.0 - Actualizar a 15.0.5-016;
- Para 15.5 - Actualizar a 15.5.4-012;
- Para 16.0 - Actualizar a 16.0.4-016.
- Cisco AsyncOS Software:
- Para versión 15.0 y anteriores - Actualizar a 15.0.2-007;
- Para 15.5 - Actualizar a 15.5.4-007;
- Para 16.0 - Actualizar a 16.0.4-010.
Después de actualizar el producto, este se reiniciará.
En el enlace de las referencias puede consultar información detallada de cómo se debe realizar la actualización.
Esta vulnerabilidad 0day que aún no ha recibido parches afecta únicamente a los dispositivos Cisco SEG y Cisco SEWM con configuraciones no estándar, cuando la función de cuarentena de spam está habilitada y expuesta en Internet.
Determinar si la cuarentena de spam está habilitada en un dispositivo Cisco Secure Email Gateway.
Para determinar si la función de Cuarentena de Spam está configurada y habilitada en un dispositivo, conéctese a la interfaz de administración web y navegue al siguiente menú: Red > Interfaces IP > [ Seleccione la interfaz en la que está configurada la Cuarentena de Spam ] . Si la casilla junto a Cuarentena de Spam está marcada, la función está habilitada.
Determinar si la cuarentena de spam está habilitada en un dispositivo Cisco Secure Email and Web Manager.
Para determinar si la función Cuarentena de spam está configurada y habilitada en un dispositivo, conéctese a la interfaz de administración web y navegue al siguiente menú: Dispositivo de administración > Red > Interfaces IP > [ Seleccione la interfaz en la que está configurada la Cuarentena de spam ]. Si la casilla de verificación junto a Cuarentena de spam está marcada, la función está habilitada.
Cisco recomienda encarecidamente seguir un proceso de varios pasos para restaurar el dispositivo a una configuración segura, siempre que sea posible. Si no es posible restaurar el dispositivo, se recomienda contactar con el TAC para verificar si ha sido comprometido.
[Actualización 19/01/2026]
El fallo se encuentra en la función Spam Quarantine de Cisco AsyncOS Software para Cisco Secure Email Gateway y Cisco Secure Email y Web Manager. La vulnerabilidad se produce por una validación incorrecta de las solicitudes HTTP. Un atacante podría explotar la vulnerabilidad al enviar una solicitud HTTP manipulada.
CVE-2025-20393: ejecución remota de comandos.
El equipo de investigación de inteligencia de amenazas de la compañía, cree que un grupo de amenazas chino, identificado como UAT-9686, está detrás de ataques que aprovechan este fallo de seguridad para ejecutar comandos arbitrarios con acceso root e implementar puertas traseras persistentes AquaShell, implantes de malware de túneles SSH inversos AquaTunnel y Chisel, y una herramienta de limpieza de registros llamada AquaPurge.
