- Cisco confirma la vulnerabilidad de día cero (CVE-2025-20393) en herramientas de correo electrónico seguras explotadas por actores vinculados a China
- Los atacantes implementaron puertas traseras Aquashell, herramientas de túneles y utilidades de limpieza de registros para lograr persistencia.
- CISA agrega error a KEV; Las organizaciones deben suspender su uso antes del 24 de diciembre.
Un actor de amenazas afiliado a China está explotando una vulnerabilidad de día cero en múltiples dispositivos de correo electrónico de Cisco para obtener acceso a los sistemas subyacentes y establecer persistencia.
Cisco confirmó la noticia en una publicación de blog y en un aviso de seguridad, instando a los usuarios a implementar las recomendaciones proporcionadas y reforzar sus redes.
En su anuncio, Cisco dijo que vio la actividad por primera vez el 10 de diciembre y determinó que comenzó al menos en noviembre de 2025. En la campaña, los actores de amenazas rastreados como UAT-9686 explotaron un error en el software Cisco AsyncOS para la puerta de enlace de correo electrónico Cisco Secure e implementaron una puerta trasera persistente basada en Python llamada Aquashell en Cisco y Web Management Systems, Exclusive Systems y Exchange Command.
dos equipos
La vulnerabilidad ahora se rastrea como CVE-2025-20393 y se le asignó una puntuación de gravedad de 10/10 (crítica).
Se vio al grupo implementando AquaTunnel (un túnel SSH inverso), Chisel (otra herramienta de creación de túneles) y AquaPurge (una utilidad de limpieza de registros).
Dadas las herramientas y la infraestructura utilizadas, Cisco cree que los ataques están siendo llevados a cabo por al menos dos grupos, rastreados como APT41 y UNC5174. Ambos son muy activos y bastante peligrosos: abusan de servicios legítimos en la nube, violan VPN, cortafuegos y otras herramientas, principalmente mientras participan en ciberespionaje.
Al mismo tiempo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) lo agregó a su catálogo de vulnerabilidades explotables conocidas (KEV), confirmando la explotación en la naturaleza. Las agencias del poder ejecutivo civil federal tienen hasta el 24 de diciembre para aplicar las correcciones proporcionadas o dejar de usar los productos vulnerables por completo.
En el aviso, Cisco dijo que los clientes deberían restaurar los dispositivos con acceso a Internet a una configuración segura. Si se les impide hacerlo, deben comunicarse con Cisco para ver si se han visto comprometidos.
“En el caso de compromisos comprobados, la refactorización de dispositivos es actualmente la única opción viable para eliminar a los actores de amenazas persistentes de los dispositivos”, dijo Cisco. “Además, Cisco recomienda encarecidamente limitar el acceso al dispositivo e implementar procedimientos estrictos de control de acceso para garantizar que los puertos no queden expuestos a redes no seguras”.
a través de registro
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
