Esta campa\u00f1a de ataque afecta a Cisco Secure Email Gateway, Cisco Secure Email y Web Manager, tanto f\u00edsicos como virtuales, cuando se cumplen las dos condiciones siguientes:<\/p>\n\n\n\n
Nota<\/strong>: Las versiones afectadas de Cisco AsyncOS son:<\/p>\n\n\n\n <\/p>\n\n\n\n Se ha reportado la explotaci\u00f3n activa de un Zero Day en productos Cisco que a\u00fan no cuenta con un parche disponible. Esta campa\u00f1a de ciberataques est\u00e1 dirigida a un subconjunto limitado de dispositivos con ciertos puertos expuestos a Internet que ejecutan el software Cisco AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. Esta vulnerabilidad se ha identificado como CVE-2025-20393 y cuenta con una puntuaci\u00f3n CVSSv3 de 10.<\/p>\n\n\n\n Esta vulnerabilidad permite a los cibercriminales ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado. La investigaci\u00f3n en curso ha revelado evidencia de un mecanismo de persistencia implementado por los atacantes para mantener cierto control sobre los dispositivos comprometidos.<\/p>\n\n\n\n La vulnerabilidad afecta a Cisco Secure Email Gateway, tanto f\u00edsico como virtual, y a los dispositivos Cisco Secure Email and Web Manager, tambi\u00e9n f\u00edsicos y virtuales, cuando se cumplen simult\u00e1neamente las siguientes dos condiciones, las cuales no est\u00e1n configuradas por defecto:<\/p>\n\n\n\n El equipo de seguridad Cisco Talos est\u00e1 rastreando el ataque activo contra el software Cisco AsyncOS para Cisco Secure Email Gateway (anteriormente conocido como Cisco Email Security Appliance, ESA) y Cisco Secure Email and Web Manager (anteriormente conocido como Cisco Content Security Management Appliance, SMA). La explotaci\u00f3n de esta vulnerabilidad permite a los atacantes ejecutar comandos a nivel de sistema e implementar una puerta trasera persistente basada en Python, denominada AquaShell.<\/p>\n\n\n\n Cisco detect\u00f3 esta actividad el 10 de diciembre, la cual ha estado activa al menos desde finales de noviembre de 2025. Otras herramientas observadas incluyen AquaTunnel (t\u00fanel SSH inverso), Chisel (otra herramienta de tunelizaci\u00f3n) y AquaPurge (utilidad de borrado de registros). El an\u00e1lisis de Talos indica que los dispositivos con configuraciones no est\u00e1ndar, como se describe en este aviso, son los que se han observado como vulnerables al ataque.<\/p>\n\n\n\n ACTUALIZACI\u00d3N: El fallo se encuentra en la funci\u00f3n Spam Quarantine de Cisco AsyncOS Software para Cisco Secure Email Gateway y Cisco Secure Email y Web Manager. La vulnerabilidad se produce por una validaci\u00f3n incorrecta de las solicitudes HTTP. Un atacante podr\u00eda explotar la vulnerabilidad al enviar una solicitud HTTP manipulada.<\/p>\n\n\n\n Para determinar si la funci\u00f3n de Cuarentena de Spam est\u00e1 configurada y habilitada en un dispositivo, con\u00e9ctese a la interfaz de administraci\u00f3n web y navegue al siguiente men\u00fa: Red<\/strong> > Interfaces IP ><\/strong> [ Seleccione la interfaz en la que est\u00e1 configurada la Cuarentena de Spam<\/strong>] .<\/strong> Si la casilla junto a Cuarentena de Spam est\u00e1 marcada, la funci\u00f3n est\u00e1 habilitada.<\/p>\n\n\n\n Para determinar si la funci\u00f3n Cuarentena de spam est\u00e1 configurada y habilitada en un dispositivo, con\u00e9ctese a la interfaz de administraci\u00f3n web y navegue al siguiente men\u00fa: Dispositivo de administraci\u00f3n > Red<\/strong> > Interfaces IP ><\/strong> [ Seleccione la interfaz en la que est\u00e1 configurada la Cuarentena de spam<\/strong>]. Si la casilla de verificaci\u00f3n junto a Cuarentena de spam est\u00e1 marcada, la funci\u00f3n est\u00e1 habilitada.<\/p>\n\n\n\n Los IOC tambi\u00e9n se pueden encontrar en el repositorio de GitHub de Talos <\/a>.<\/p>\n\n\n\n 2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef<\/p>\n\n\n\n 145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca<\/p>\n\n\n\n 85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc<\/p>\n\n\n\n 172[.]233[.]67[.]176<\/p>\n\n\n\n 172[.]237[.]29[.]147<\/p>\n\n\n\n 38[.]54[.]56[.]95<\/p>\n\n\n\n Si se ha identificado que la interfaz de administraci\u00f3n web o el puerto de cuarentena de spam de un dispositivo est\u00e1n expuestos y son accesibles desde internet, Cisco recomienda encarecidamente seguir un proceso de varios pasos para restaurar el dispositivo a una configuraci\u00f3n segura, siempre que sea posible.<\/p>\n\n\n\n Para descargar dispositivos virtuales de reemplazo, visite la p\u00e1gina de descarga de software de Cisco correspondiente:<\/p>\n\n\n\n Si no es posible restaurar el dispositivo, Cisco recomienda contactar con el TAC<\/a> para verificar si ha sido comprometido. En caso de que se confirme la vulneraci\u00f3n, reconstruir el dispositivo es, actualmente, la \u00fanica opci\u00f3n viable para erradicar el mecanismo de persistencia de los actores de amenazas.<\/p>\n\n\n\n Adem\u00e1s, Cisco recomienda encarecidamente restringir el acceso al dispositivo e implementar mecanismos de control de acceso s\u00f3lidos para garantizar que los puertos no est\u00e9n expuestos a redes no seguras.<\/p>\n\n\n\n Cisco a\u00fan no ha lanzado parches de seguridad, pero ha proporcionado una lista de recomendaciones generales para los productos afectados. Estas incluyen:<\/p>\n\n\n\n Para ver todas las recomendaciones puede redirigirse al siguiente enlace:<\/p>\n\n\n\n https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-sma-attack-N9bf4#Recommendations<\/a><\/p>\n\n\n\n ACTUALIZACI\u00d3N: El proveedor CISCO ha publicado parches de seguridad para solucionar la vulnerabilidad:<\/p>\n\n\n\n Para descargar dispositivos virtuales de reemplazo, visite la p\u00e1gina de descarga de software de Cisco correspondiente:<\/p>\n\n\n\n <\/p>\n","protected":false},"featured_media":7921,"template":"","class_list":["post-11169","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"104","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11169","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":8,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11169\/revisions"}],"predecessor-version":[{"id":11223,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11169\/revisions\/11223"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/7921"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Descripci\u00f3n<\/h2>\n\n\n\n
\n
\u00datiles:<\/h2>\n\n\n\n
\n
\n
IOC:<\/h2>\n\n\n\n
\n
\n
\n
Recomendaciones:<\/h2>\n\n\n\n
\n
\n
Soluci\u00f3n<\/h2>\n\n\n\n
\n
\n
\n
\n
Informaci\u00f3n adicional:<\/h2>\n\n\n\n
\n