Actualidade CCN

CCN-CERT AL 11/25 Campaña activa contra Cisco Secure Email Gateway y Cisco Secure Email and Web Manager

Fecha de publicación: 19/12/2025

Nivel de peligrosidad: Crítico

  • Cisco detecta una campaña de explotación en curso de una vulnerabilidad crítica en Cisco AsyncOS que permite el control remoto y persistencia mediante el backdoor AquaShell.

El CCN-CERT, del Centro Criptológico Nacional, alerta de la existencia de una campaña activa dirigida a dispositivos que ejecutan Cisco AsyncOS (cualquiera de sus versiones) en Cisco Secure Email Gateway, anteriormente conocido como Cisco Email Security Appliance (ESA), y Cisco Secure Email and Web Manager, denominado antes como Cisco Content Security Management Appliance (SMA).

La explotación se produce a través de una vulnerabilidad de ejecución remota de comandos (CVE-2025-20393), que permite a un adversario sin autenticación ejecutar órdenes con privilegios de root en el sistema afectado.

Como parte de este ataque, los adversarios han implantado un backdoor denominado AquaShell, que se integra en un componente web y escucha peticiones HTTP no autenticadas para ejecutar comandos codificados en la shell del sistema. Este backdoor se acompaña de otras herramientas (como tunneling remoto y limpieza de logs) que facilitan la persistencia y la exploración interna de la red.

Recursos afectados

  • Cisco Secure Email Gateway. Físico y virtual
  • Cisco Secure Email y Web Manage. Físico y virtual

Indicadores de Compromiso

Los usuarios que deseen verificar si un dispositivo ha sido comprometido pueden abrir un caso en el Centro de Asistencia Técnica (TAC) de Cisco.

Recomendaciones

El CCN-CERT recomienda a todas las organizaciones realizar inmediatamente las siguientes acciones, siguiendo las indicaciones del fabricante:

  • Si se ha identificado que un dispositivo tiene la interfaz de administración web o el puerto de cuarentena de spam expuestos y accesibles desde Internet, Cisco recomienda encarecidamente seguir un proceso de varios pasos para restaurar el dispositivo a una configuración segura, siempre que sea posible.
  • Si no es posible restaurar el dispositivo, Cisco recomienda ponerse en contacto con su TAC para comprobar si el dispositivo se ha visto comprometido. En caso de que se confirme el compromiso, la única opción viable actualmente para erradicar el mecanismo de persistencia de los actores maliciosos del dispositivo es reconstruirlo.

Recomendaciones generales

  • Impida el acceso desde Internet al dispositivo. Si se requiere acceso a Internet desde éste, restrinja el acceso solo a hosts conocidos y de confianza en los puertos/protocolos que se incluyen en las guías de usuario.
  • Proteja los dispositivos Cisco Secure Email Gateway y Cisco Secure Email and Web Manager detrás de un dispositivo de filtrado, como un firewall, y filtre el tráfico hacia y desde los dispositivos, permitiendo solo que los hosts conocidos y de confianza envíen tráfico a los dispositivos.
  • En el caso de Cisco Secure Email Gateway, separe las funciones de correo y gestión en interfaces de red independientes. Esto reduce la posibilidad de que usuarios no autorizados accedan a la red de gestión interna.
  • Supervise periódicamente el tráfico del registro web para detectar cualquier tráfico inesperado hacia o desde los dispositivos. Los registros deben enviarse a un servidor externo, si es posible, y conservarse durante un tiempo suficiente para que se puedan realizar investigaciones posteriores al evento con datos de registro suficientes. Desactive HTTP para el portal del administrador.

Más información:

Cisco: