Ejecución remota de comandos en productos de Cisco
Esta campaña de ataque afecta a Cisco Secure Email Gateway, tanto físico como virtual, y a los dispositivos Cisco Secure Email y Web Manager, tanto físicos como virtuales, cuando se cumplen las dos condiciones siguientes:
- El dispositivo está configurado con la función de cuarentena de spam.
- La función de cuarentena de spam está expuesta y se puede acceder a ella desde Internet.
La función de Cuarentena de Spam no está habilitada de forma predeterminada. Las guías de implementación de estos productos no requieren que este puerto esté expuesto directamente a Internet.
Todas las versiones del software Cisco AsyncOS se ven afectadas por esta campaña de ataque.
Cisco ha publicado información sobre una vulnerabilidad de severidad crítica que de ser explotada podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado.
Existe una investigación en curso la cual ha revelado evidencias de un mecanismo de persistencia implementado por los cibercriminales para mantener cierto control sobre los dispositivos comprometidos.
Esta vulnerabilidad 0day que aún no ha recibido parches afecta únicamente a los dispositivos Cisco SEG y Cisco SEWM con configuraciones no estándar, cuando la función de cuarentena de spam está habilitada y expuesta en Internet.
Determinar si la cuarentena de spam está habilitada en un dispositivo Cisco Secure Email Gateway.
Para determinar si la función de Cuarentena de Spam está configurada y habilitada en un dispositivo, conéctese a la interfaz de administración web y navegue al siguiente menú: Red > Interfaces IP > [ Seleccione la interfaz en la que está configurada la Cuarentena de Spam ] . Si la casilla junto a Cuarentena de Spam está marcada, la función está habilitada.
Determinar si la cuarentena de spam está habilitada en un dispositivo Cisco Secure Email and Web Manager.
Para determinar si la función Cuarentena de spam está configurada y habilitada en un dispositivo, conéctese a la interfaz de administración web y navegue al siguiente menú: Dispositivo de administración > Red > Interfaces IP > [ Seleccione la interfaz en la que está configurada la Cuarentena de spam ]. Si la casilla de verificación junto a Cuarentena de spam está marcada, la función está habilitada.
Cisco recomienda encarecidamente seguir un proceso de varios pasos para restaurar el dispositivo a una configuración segura, siempre que sea posible. Si no es posible restaurar el dispositivo, se recomienda contactar con el TAC para verificar si ha sido comprometido.
CVE-2025-20393: ejecución remota de comandos.
El equipo de investigación de inteligencia de amenazas de la compañía, cree que un grupo de amenazas chino, identificado como UAT-9686, está detrás de ataques que aprovechan este fallo de seguridad para ejecutar comandos arbitrarios con acceso root e implementar puertas traseras persistentes AquaShell, implantes de malware de túneles SSH inversos AquaTunnel y Chisel, y una herramienta de limpieza de registros llamada AquaPurge.
