CVE-2025-20393: El día cero de Cisco AsyncOS que convierte los dispositivos de seguridad de correo electrónico en cabezas de playa a nivel de raíz

CVE-2025-20393 es un problema de seguridad de máxima gravedad relacionado con las implantaciones de Cisco AsyncOS en Secure Email Gateway (SEG) de Cisco y Secure Email and Web Manager (SEWM) de Cisco. El riesgo principal no es sutil: los atacantes pueden ejecutar comandos arbitrarios del sistema con privilegios de root en los aparatos afectados, y las pruebas demuestran que es ya están siendo explotados en la naturaleza. (NVD)

Desde la perspectiva de un defensor, esto se sitúa en el peor lugar posible. Los dispositivos SEG/SEWM tienden a ser de confianza, semiopacos y operativamente "especiales": a menudo se les aplican parches más lentamente que a los servidores básicos, se les supervisa menos exhaustivamente y se les concede un amplio alcance en los flujos de correo y las redes de gestión. Cuando un dispositivo periférico se convierte en un host controlado por un atacante, no se trata sólo de otro incidente de punto final, sino de un punto de inflexión.

Este artículo se centra en lo que realmente es importante para los ingenieros de seguridad: las condiciones de exposición, las técnicas posteriores al compromiso, las ideas de detección de señales altas y los pasos pragmáticos de contención que se pueden ejecutar incluso cuando todavía no hay un parche disponible.

¿Qué tipo de vulnerabilidad es CVE-2025-20393?

A nivel de clasificación, NVD registra CVE-2025-20393 como CWE-20: Validación de entrada inadecuadacon un Vector base CVSS v3.1 indicando ataque a la red, sin necesidad de privilegios, sin interacción del usuario y con un impacto de compromiso total. (NVD)

En términos prácticos, múltiples fuentes resumen el impacto como: ejecución remota de comandos no autenticados con privilegios de root en el sistema operativo subyacente de un dispositivo afectado. (Blog Cisco Talos)

NVD también muestra una actualización de CISA KEV: Fecha de adición: 2025-12-17; Fecha de vencimiento: 2025-12-24junto con las acciones necesarias para aplicar las medidas de mitigación del proveedor o interrumpir el uso si las medidas de mitigación no están disponibles. (NVD)

Productos afectados y condiciones reales de exposición

El matiz que importa: aunque las versiones de AsyncOS están ampliamente implicadas, la explotación observada se concentra en un subconjunto limitado de aparatos con configuraciones no estándar-específicamente dónde Cuarentena de spam está activado y expuesto a Internet. (BleepingComputer)

Varios informes destacan que La Cuarentena de Spam no está activada por defectoy las guías de despliegue no requieren que el puerto asociado esté expuesto a Internet, lo que significa que muchos entornos sólo serán vulnerables a través de opciones de configuración, deriva o exposición "temporal" impulsada por la conveniencia que se convirtió en permanente. (Ayuda a la seguridad de la red)

Si estás evaluando el impacto, no hagas conjeturas. Tu primera tarea es responder a dos preguntas con pruebas:

¿Ejecutamos SEG o SEWM (físico o virtual)?
¿Se puede acceder a Spam Quarantine o a la interfaz de gestión web desde redes no fiables?

Si la respuesta a ambas es "sí", trátelo como un incidente hasta que se demuestre lo contrario.

Por qué esta CVE es desagradable desde el punto de vista operativo: cadena de intrusión y herramientas observadas

Cisco Talos atribuye la actividad (con confianza moderada) a un actor de amenazas chino al que rastrean como UAT-9686y señala que la campaña lleva en marcha desde al menos finales de noviembre de 2025Cisco se dio cuenta el 10 de diciembre de 2025. (Blog Cisco Talos)

La parte relevante para el defensor es lo que ocurre después del acceso inicial. Talos describe una cadena de herramientas creadas para la persistencia, la tunelización y la antiforense:

AquaShell: una puerta trasera Python ligera incrustada en un archivo existente dentro de un servidor web basado en Python. Escucha pasivamente POST HTTP no autenticado que contienen datos especialmente diseñados, descodifica el contenido y ejecuta comandos en el shell del sistema. Talos afirma que se sitúa en /data/web/euq_webui/htdocs/index.py. (Blog Cisco Talos)
AquaPurgeelimina las líneas de registro que contienen palabras clave específicas de los archivos de registro especificados, utilizando egrepfiltrado de estilo para mantener las líneas "limpias" y escribirlas de nuevo. (Blog Cisco Talos)
AquaTunnelun binario Go compilado basado en ReverseSSHutilizado para crear una conexión SSH inversa hacia la infraestructura del atacante. (Blog Cisco Talos)
Cincel: una herramienta de túnel de código abierto que soporta túneles TCP/UDP sobre una única conexión basada en HTTP, útil para proxy y pivote a través de un dispositivo de borde. (Blog Cisco Talos)

Esto es importante porque cambia su postura de respuesta. Cuando el libro de jugadas del actor incluye implantes de persistencia más manipulación de logs, debes asumir ceguera parcial en logs locales y planear confiar en telemetría externa (registros de cortafuegos, registros de proxy, NetFlow, registros DNS) para validar si el dispositivo ha hablado con la infraestructura del atacante.

CVE-2025-20393: El día cero de Cisco AsyncOS que convierte los dispositivos de seguridad de correo electrónico en cabezas de playa a nivel de raíz

COIs de alta señal y qué hacer con ellos

Talos publicó hashes SHA-256 de ejemplo para herramientas (AquaTunnel, AquaPurge, Chisel) y un pequeño conjunto de direcciones IP asociadas a la campaña, y apunta a un repositorio GitHub para el conjunto completo de COI. (Blog Cisco Talos)

El enfoque práctico de un ingeniero consiste en tratar los COI como aceleradores de triaje rápidono una prueba definitiva:

Acierto positivo en el hash de la herramienta o en la IP conocida: escalar inmediatamente, preservar las pruebas, abrir un caso de vendedor y planificar la reconstrucción/restauración.
Golpe negativo: no te exime; sólo significa que necesitas comprobaciones basadas en el comportamiento y la integridad (porque los actores rotan de infraestructura, y AquaShell podría no ser hash-idéntico entre víctimas). (Blog Cisco Talos)

A continuación se ofrecen ejemplos de comprobaciones "seguras" que puede realizar sin desencadenar la explotación.

1) Comprobación de la integridad de los archivos (punto de partida)

# Compruebe la marca de tiempo y los permisos del archivo de la interfaz de usuario web mencionado en Talos
stat /data/web/euq_webui/htdocs/index.py

# Realiza un hash y compáralo con tu base de referencia conocida (si la tienes)
sha256sum /data/web/euq_webui/htdocs/index.py

# Si guardas copias de seguridad/configuración, compara las versiones
diff -u /ruta/para/bien-conocido/index.py /data/web/euq_webui/htdocs/index.py || true

Talos nombra explícitamente esta ruta como la ubicación donde se coloca AquaShell. (Blog Cisco Talos)

2) Barrido de COI saliente en registros externos (recomendado)

# Ejemplo: grep para IPs conocidas en logs exportados (sustituya las rutas por su telemetría)
grep -RIn --binary-files=without-match \
  -E "172\\.233\\.67\\.176|172\\.237\\.29\\.147|38\\.54\\.56\\.95" \\
  /var/log 2>/dev/null | head -n 200

Las IPs de arriba han sido publicadas por Talos como asociadas a la campaña. (Blog Cisco Talos)

3) Caza "POST inusual" (mejor esfuerzo, no sobreajuste)

# Buscar actividad POST web que toque el patrón de ruta mencionado (si existen registros)
grep -RIn --binary-files=without-match \
  -E "POST|/euq_webui/|/htdocs/index\\.py".
  /var/log 2>/dev/null | head -n 200

El comportamiento de AquaShell, según Talos, se basa en solicitudes HTTP POST no autenticadas que transportan contenido de comandos codificado. (Blog Cisco Talos)

Exposición y prioridad: una tabla de decisiones preparada para el terreno

Situación	Probabilidad de compromiso	Prioridad	Acción inmediata
Cuarentena de spam activada y internet accesible	Muy alta	P0	Elimine la exposición ahora; siga las mitigaciones del vendedor; cace COIs
Interfaz de gestión web accesible en Internet	Alta	P0	Eliminar la exposición ahora; restringir a hosts de confianza/VPN; retención de registros
No expuesta a Internet, pero accesible desde amplias redes de socios/proveedores.	Medio	P1	Reducir el alcance del ACL; validar la segmentación; buscar anomalías
Totalmente interno, estrictamente restringido, fuertes controles administrativos	Baja	P2	Supervisión de las actualizaciones de los avisos; integridad de la línea de base; refuerzo de los controles.

Esta priorización coincide con el consenso público: la explotación se está observando principalmente donde La Cuarentena de Spam está activada y expuesta y en configuraciones no estándar. (BleepingComputer)

Mitigación cuando aún no hay parche

A partir del resumen de runZero (actualizado el 17 de diciembre de 2025), actualmente no hay disponible ninguna versión fija parcheaday el proveedor recomienda desactivar Cuarentena de spam y aislando los sistemas vulnerables tras controles de acceso a la red. (runZero)

La cobertura de BleepingComputer también describe a Cisco aconsejando a los administradores que restrinjan el acceso (limitar el acceso a Internet, restringirlo a hosts de confianza, colocar los dispositivos detrás de cortafuegos), así como la higiene operativa, como conservar los registros, separar la gestión del correo de las funciones de gestión y utilizar métodos de autenticación fuertes. (BleepingComputer)

El objetivo estratégico es sencillo: colapsar la superficie de ataque más rápido de lo que el atacante puede escanearlo y explotarlo.

Una secuencia práctica de mitigación que los equipos pueden ejecutar hoy mismo:

Eliminar la exposición a Internet a la Cuarentena de Spam y a cualquier superficie de gestión.
Restringir el acceso a la gestión a una lista restringida (sólo VPN + bastión).
Funciones separadas: el plano de gestión no debe ser el mismo plano de exposición que el de tratamiento del correo. (BleepingComputer)
Conservar registros y telemetría externa antes de rotar nada-Talos documenta herramientas de purga de registros (AquaPurge), así que asuma que los artefactos locales pueden estar incompletos. (Blog Cisco Talos)
Ejecutar comprobaciones de integridad en la ruta de la interfaz de usuario web que menciona Talos y busque las herramientas de túnel. (Blog Cisco Talos)
Si tiene indicadores de compromiso, abrir un caso Cisco TAC (Cisco y la cobertura recomiendan este camino para la validación de compromiso y respuesta). (BleepingComputer)

Descarga gratuita de la herramienta AI Pentest

Reconstruir frente a "limpiar en su sitio": sea honesto sobre la realidad de los electrodomésticos

Los ingenieros de seguridad odian la palabra "reconstruir" porque es perjudicial, pero los dispositivos perimetrales son únicos: cuando la persistencia está incrustada en componentes web y la integridad de los registros es sospechosa, puedes pasarte días "limpiando" y aun así dejar una puerta trasera.

La información pública señala la posición de Cisco de que, en casos de compromiso confirmado, reconstruir los aparatos es actualmente la única opción viable para erradicar el mecanismo de persistencia. (Ayuda a la seguridad de la red)

Tratar "mitigado" y "erradicado" como estados diferentes. La mitigación cierra la puerta. La erradicación demuestra que el atacante no sigue dentro.

Dónde pueden ayudar los flujos de trabajo de seguridad basados en IA

Si su entorno tiene varias instancias de SEG/SEWM en distintas regiones, lo más difícil rara vez es la mitigación en sí, sino la coordinación y el rastreo de pruebas: qué instancias están expuestas, qué botones de configuración cambiaron, qué registros se conservaron, si las conexiones salientes coincidían con los IOC publicados y qué aspecto tiene la postura de seguridad final.

Aquí es donde una plataforma basada en IA puede realmente añadir valor sin pretender ser mágica:

Automatización de la comprobación de la exposición ("¿se puede acceder a la Cuarentena de Spam desde redes no fiables?") según un calendario.
Conversión de IOC publicados en búsquedas repetibles en SIEM, registros de cortafuegos y telemetría de endpoints.
Generar un informe de incidentes basado en pruebas en el que tanto el CISO como el ingeniero puedan confiar.

Si ya utiliza Penligent para la automatización de la seguridad, el ajuste aquí es sencillo: cree un libro de ejecución repetible que valide configuración + accesibilidad + comprobaciones de telemetría y emite un paquete de pruebas estructurado para IR. El mejor resultado no es la "explotación de la IA", sino menos puntos ciegos y decisiones más rápidas y fiables.

Referencias

https://nvd.nist.gov/vuln/detail/CVE-2025-20393

https://www.cve.org/CVERecord?id=CVE-2025-20393

https://blog.talosintelligence.com/uat-9686

https://www.runzero.com/blog/cisco-secure-email-gateway

https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

https://cwe.mitre.org/data/definitions/20.html

https://github.com/Fahrj/reverse-ssh

https://github.com/jpillora/chisel

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4

Comparte el post:

Entradas relacionadas

Cromo 2025 Zero-Days: La cadena de muerte de ANGLE, V8 y Mojo

El panorama de la explotación de los navegadores cambió radicalmente en 2025. Durante años, la narrativa estuvo dominada por los bugs "Use-After-Free" (UAF) en

Seguir leyendo

Profundización en las vulnerabilidades críticas de día cero de Chrome de 2025 Penligent

Vulnerabilidades de día cero de Chrome explotadas en 2025: Un análisis exhaustivo de CVE-2025-14174, V8 Type Confusion y Sandbox Escapes

2025 ha sido un año tumultuoso para los investigadores de seguridad de los navegadores. Mientras Google sigue reforzando las defensas de Chrome -sobre todo con el

Seguir leyendo