Dos nuevos avisos de seguridad y una actualización
Índice
- Ejecución remota de comandos en productos de Cisco
- Omisión de autenticación de firma en el certificado Step-CA de smallstep
- [Actualización 18/12/2025] Omisión de autorización en GAMS de GAMS Development Corp
Ejecución remota de comandos en productos de Cisco
Esta campaña de ataque afecta a Cisco Secure Email Gateway, tanto físico como virtual, y a los dispositivos Cisco Secure Email y Web Manager, tanto físicos como virtuales, cuando se cumplen las dos condiciones siguientes:
- El dispositivo está configurado con la función de cuarentena de spam.
- La función de cuarentena de spam está expuesta y se puede acceder a ella desde Internet.
La función de Cuarentena de Spam no está habilitada de forma predeterminada. Las guías de implementación de estos productos no requieren que este puerto esté expuesto directamente a Internet.
Todas las versiones del software Cisco AsyncOS se ven afectadas por esta campaña de ataque.
Cisco ha publicado información sobre una vulnerabilidad de severidad crítica que de ser explotada podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado.
Existe una investigación en curso la cual ha revelado evidencias de un mecanismo de persistencia implementado por los cibercriminales para mantener cierto control sobre los dispositivos comprometidos.
Esta vulnerabilidad 0day que aún no ha recibido parches afecta únicamente a los dispositivos Cisco SEG y Cisco SEWM con configuraciones no estándar, cuando la función de cuarentena de spam está habilitada y expuesta en Internet.
Determinar si la cuarentena de spam está habilitada en un dispositivo Cisco Secure Email Gateway.
Para determinar si la función de Cuarentena de Spam está configurada y habilitada en un dispositivo, conéctese a la interfaz de administración web y navegue al siguiente menú: Red > Interfaces IP > [ Seleccione la interfaz en la que está configurada la Cuarentena de Spam ] . Si la casilla junto a Cuarentena de Spam está marcada, la función está habilitada.
Determinar si la cuarentena de spam está habilitada en un dispositivo Cisco Secure Email and Web Manager.
Para determinar si la función Cuarentena de spam está configurada y habilitada en un dispositivo, conéctese a la interfaz de administración web y navegue al siguiente menú: Dispositivo de administración > Red > Interfaces IP > [ Seleccione la interfaz en la que está configurada la Cuarentena de spam ]. Si la casilla de verificación junto a Cuarentena de spam está marcada, la función está habilitada.
Cisco recomienda encarecidamente seguir un proceso de varios pasos para restaurar el dispositivo a una configuración segura, siempre que sea posible. Si no es posible restaurar el dispositivo, se recomienda contactar con el TAC para verificar si ha sido comprometido.
CVE-2025-20393: ejecución remota de comandos.
El equipo de investigación de inteligencia de amenazas de la compañía, cree que un grupo de amenazas chino, identificado como UAT-9686, está detrás de ataques que aprovechan este fallo de seguridad para ejecutar comandos arbitrarios con acceso root e implementar puertas traseras persistentes AquaShell, implantes de malware de túneles SSH inversos AquaTunnel y Chisel, y una herramienta de limpieza de registros llamada AquaPurge.
Omisión de autenticación de firma en el certificado Step-CA de smallstep
- smallstep Step-CA 0.28.4;
- smallstep Step-CA v0.28.3.
Stephen Kubik, del Grupo de Iniciativas de Seguridad Avanzada de Cisco (ASIG), ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante omitir las comprobaciones de autorización.
Actualizar a la versión v0.29.0 o más reciente.
CVE-2025-44005: vulnerabilidad debida a que los tokens que especifican un aprovisionador ACME son aceptados por endpoints no ACME. Por ejemplo, el /signendpoint utiliza el método de aprovisionadores AuthorizeSign para validar el token proporcionado. Un atacante puede eludir las comprobaciones de autorización y obligar a un aprovisionador ACME o SCEP de Step CA a crear certificados sin completar determinadas comprobaciones de autorización de protocolo.
[Actualización 18/12/2025] Omisión de autorización en GAMS de GAMS Development Corp
[Actualización 18/12/2025]
- Todas las versiones anteriores a la 47, incluidas.
- De la 48.0.0 a la 48.6.1.
- De la 49.0.0 a la 49.6.1.
- De la 50.0.0 a la 50.4.1.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a GAMS de GAMS Development Corp, herramienta para la creación de modelos matemáticos. La vulnerabilidad ha sido descubierta por Francisco Guerrero Gallardo y Juan Embid Sánchez.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41086: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-639
[Actualización 18/12/2025]
- GAMS 48.7.0.
- GAMS 49.7.0.
- GAMS 50.5.0 , GAMS 51.0.0 y superiores.
CVE-2025-41086: vulnerabilidad en el sistema de control de acceso del sistema de licencias GAMS que permite generar licencias válidas ilimitadas, eludiendo cualquier restricción de uso. El validador emplea un algoritmo de suma de comprobación inseguro; conociendo este algoritmo y el formato de las líneas de la licencia, un atacante puede recalcular la suma de comprobación y generar una licencia válida para otorgarse a sí mismo privilegios completos sin credenciales ni acceso al código fuente, lo que le permite un acceso sin restricciones a los modelos matemáticos y solucionadores comerciales de GAMS.