Entre el 17 y el 18 de diciembre de 2025, Cisco Talos y varios CERTs han alertado sobre una campaña de explotación activa contra appliances de Cisco Secure Email Gateway y Cisco Secure Email and Web Manager que ejecutan AsyncOS. La vulnerabilidad, CVE-2025-20393 (CVSS 10.0), permite a un atacante remoto ejecutar comandos como root en configuraciones concretas (especialmente si la función Spam Quarantine está expuesta a Internet). La campaña se asocia con el actor UAT-9686 y despliega una puerta trasera denominada AquaShell.
Cisco Talos ha documentado una campaña en la que un actor avanzado, identificado como UAT-9686 (atribución con “confianza moderada” y con indicios de nexo chino), está atacando un subconjunto de appliances que ejecutan Cisco AsyncOS para Secure Email Gateway (ESA) y Secure Email and Web Manager (SMA). El impacto es especialmente sensible porque se trata de tecnología que suele estar en el perímetro y que, además, tiene visibilidad y control sobre flujos de correo corporativo (un vector habitual tanto para intrusión inicial como para persistencia).
¿A quien afecta?
No es un fallo para todo el mundo por defecto, y ese matiz importa: Cisco y los CERT están hablando de un subconjunto de appliances que cumplen condiciones concretas de exposición. En particular, el riesgo se materializa cuando el equipo (físico o virtual) de Cisco Secure Email Gateway o Cisco Secure Email and Web Manager está configurado con la funcionalidad Spam Quarantine y, además, esa interfaz queda expuesta y accesible desde Internet.
Qué deberían hacer las organizaciones hoy
Primero, confirmar exposición. Si tu organización opera estos appliances, la comprobación prioritaria es si Spam Quarantine (y/o la interfaz web asociada) está publicada a Internet. MS-ISAC lo resume sin rodeos: todas las versiones pueden verse afectadas solo si se cumplen esas condiciones, y la Spam Quarantine no suele estar habilitada por defecto.
Segundo, reducir riesgo de inmediato. Si detectas exposición, la línea defensiva más efectiva ahora mismo es cerrar/segmentar: restringir accesos a redes de confianza (VPN, rangos corporativos, listas de control), eliminar publicación innecesaria y endurecer controles de acceso a esas interfaces.
Tercero, tratar el compromiso como escenario plausible. Si hay indicios (telemetría anómala, comportamientos de tunneling, procesos extraños, logs “limpios” sospechosamente), la recomendación converge: contactar con soporte/TAC para evaluación y, si se confirma intrusión, asumir que la erradicación puede exigir medidas drásticas. MS-ISAC recoge explícitamente que, ante compromiso confirmado, reconstruir el appliance es, en este momento, la forma viable de eliminar mecanismos de persistencia.
Más información:
UAT-9686 actively targets Cisco Secure Email Gateway and Secure Email and Web Manager https://blog.talosintelligence.com/uat-9686/
CVE-2025-20393 Detail https://nvd.nist.gov/vuln/detail/CVE-2025-20393
La entrada CVE-2025-20393: explotación activa en Cisco AsyncOS permite ejecutar comandos con privilegios root se publicó primero en Una Al Día.
