Vulnerabilidad crítica en Cisco AsyncOS: parche oficial para CVE-2025-20393 bajo ataque

Cisco ha publicado finalmente actualizaciones de software para corregir una vulnerabilidad de severidad máxima en AsyncOS, utilizada en ataques activos durante al menos un mes y que afecta a determinados appliances Secure Email Gateway (SEG) y Secure Email and Web Manager (SEWM). La vulnerabilidad crítica en Cisco AsyncOS, identificada como CVE-2025-20393, es especialmente relevante por su impacto directo en infraestructuras de seguridad perimetral de correo y por la ventana de exposición confirmada antes de la disponibilidad del parche.

¿Qué implica la vulnerabilidad crítica en Cisco AsyncOS (CVE-2025-20393)?

Según el advisory de Cisco, la explotación permite a actores de amenazas ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente del appliance afectado. Cisco también afirma que su investigación encontró evidencias de un mecanismo de persistencia implantado para mantener cierto nivel de control sobre appliances comprometidos, un indicador consistente con campañas orientadas a permanencia y reexplotación.

Fuente oficial: Cisco Security Advisory sobre CVE-2025-20393.

Campaña atribuida y cronología del ataque

Cisco divulgó públicamente la existencia de la vulnerabilidad el 17 de diciembre, tras indicar que tuvo conocimiento de ataques dirigidos contra estos appliances el 10 de diciembre. Posteriormente, Cisco Talos atribuyó las intrusiones a UAT-9686, un grupo vinculado a China, y situó la actividad “al menos desde finales de noviembre de 2025”, ampliando la perspectiva de exposición más allá de la fecha de divulgación inicial.

Fuente de alta autoridad: Informe de Cisco Talos sobre UAT-9686.

El punto crítico: root y persistencia en appliances de seguridad

En entornos corporativos, una ejecución remota con privilegios de root en appliances que procesan y protegen tráfico de correo puede convertirse en un pivote de alto valor para movimientos laterales, manipulación de políticas de seguridad y recolección de información. El hecho de que Cisco mencione mecanismos de persistencia eleva el riesgo operativo, ya que no se trata solo de bloquear la entrada, sino de erradicar posibles artefactos implantados durante la intrusión.

Cisco confirma updates que eliminan persistencia

La compañía comunicó a clientes que ya están disponibles los updates para mitigar la vulnerabilidad crítica en Cisco AsyncOS. En una declaración atribuida a un portavoz, Cisco sostiene que estas actualizaciones también eliminan mecanismos de persistencia que podrían haberse instalado durante una campaña relacionada, y recomienda actualizar a una versión corregida conforme a lo detallado en el advisory actualizado. Para incidencias o soporte, Cisco remite al Cisco Technical Assistance Center (TAC).

Acceso oficial a soporte: Cisco Technical Assistance Center (TAC).

Impacto e incógnitas abiertas

Aunque el parche ya está disponible, Cisco no ha detallado públicamente cuántos appliances habrían sido comprometidos durante la campaña. Para equipos de seguridad y operaciones, esta falta de visibilidad complica la estimación de alcance global, pero no cambia la prioridad: aplicar el update correspondiente y validar indicadores de compromiso, dado el historial de explotación activa y la referencia explícita a persistencia.

Con el parche ya publicado, la vulnerabilidad crítica en Cisco AsyncOS pasa de ser un incidente de “0-day bajo ataque” a un escenario de “n-days explotables” donde el principal factor de riesgo es el retraso en la actualización en appliances expuestos o mal segmentados.