Explotación de CVE-2025-20393: Una Vulnerabilidad Zero-Day de Máxima Gravedad en el Software Cisco AsyncOS Abusada en Ataques por el APT UAT-9686 Respaldado por China

A medida que el 2025 llega a su fin, otra crítica vulnerabilidad de día cero de Cisco ha surgido, uniéndose a divulgaciones anteriores de alta gravedad: dos fallos RCE en Cisco ISE y SE-PIC (CVE-2025-20281 y CVE-2025-20282) y una vulnerabilidad de día cero de septiembre en Cisco IOS e IOS XE (CVE-2025-20352). La última vulnerabilidad descubierta de Cisco, identificada como CVE-2025-20393, afecta al Software AsyncOS y alcanza una puntuación CVSS de máxima gravedad de 10.0. La falla ya está siendo explotada activamente por un grupo APT vinculado a China rastreado como UAT-9686.

El aprovechamiento de vulnerabilidades de día cero está aumentando, mientras que el tiempo para parchearlas se está reduciendo, haciendo que las actualizaciones rápidas sean más críticas que nunca. El informe DBIR 2025 de Verizon destaca un aumento interanual del 34% en las brechas iniciadas a través de la explotación de vulnerabilidades, resaltando la necesidad de defensas proactivas. Las campañas de espionaje respaldadas por China están impulsando esta tendencia, con operaciones que cada vez enfatizan más el sigilo y la seguridad operativa durante los últimos cinco años. Los grupos APT alineados con China siguen siendo de los actores patrocinados por el estado más rápidos y activos, a menudo armando los nuevos exploits divulgados casi de inmediato, complicando aún más el panorama de ciberseguridad global.

A principios de diciembre, se observó que una nueva vulnerabilidad de máxima gravedad en React Server Components, conocida como React2Shell, fue explotada en múltiples campañas vinculadas a China, con una actividad que rápidamente aceleró tanto en escala como en ritmo y amplió su alcance de objetivos. Otra vulnerabilidad de máxima gravedad (CVE-2025-20393), recientemente descubierta en el Software AsyncOS de Cisco, ha estado causando revuelo en el ámbito de la amenaza cibernética, lo que requiere una vigilancia ultra de parte de los defensores.

Regístrate en SOC Prime Platform, que ofrece el conjunto de datos de inteligencia de detección más grande del mundo y cubre todo el pipeline desde la detección hasta la simulación para llevar tu SOC al siguiente nivel y prevenir proactivamente ataques APT, campañas de explotación y amenazas cibernéticas de cualquier escala y sofisticación. Pulsa Explorar Detecciones para llegar a un conjunto de reglas enriquecidas con contexto que abordan exploits críticos, filtrados por la etiqueta “CVE” correspondiente.

Explorar Detecciones

El contenido SOC mencionado anteriormente es compatible con más de 40 plataformas SIEM, EDR y Data Lake para habilitar el uso de contenido multiplataforma y está mapeado al marco MITRE ATT&CK® v18.1. Los equipos de seguridad pueden acelerar aún más los flujos de trabajo de ingeniería de detección de extremo a extremo con Uncoder AI, que permite una creación fluida de reglas a partir de inteligencia de amenazas en vivo, un refinamiento instantáneo y validación de la lógica de detección, la visualización automática del flujo de ataque, la conversión de consultas IOC a caza, y la traducción con respaldo de IA de contenido de detección en múltiples formatos de lenguaje.

Análisis de CVE-2025-20393

Cisco ha advertido recientemente a la comunidad global de defensores sobre una vulnerabilidad crítica de día cero en su Software AsyncOS rastreada como CVE-2025-20393 que está siendo explotada activamente por un grupo APT vinculado a China, UAT-9686, dirigido a Cisco Secure Email Gateway y Cisco Secure Email and Web Manager.

La compañía informó haber tomado conocimiento de la campaña el 10 de diciembre de 2025, señalando que solo un subconjunto limitado de dispositivos con ciertos puertos expuestos a internet parecen estar afectados. El número total de clientes impactados sigue sin estar claro.

Según el proveedor, la falla permite a los actores de amenazas ejecutar comandos arbitrarios con privilegios root en los dispositivos afectados. Los investigadores también han encontrado evidencia de un mecanismo de persistencia colocado para mantener control sobre los dispositivos comprometidos.

La vulnerabilidad sigue sin parchearse y se debe a una validación de entrada incorrecta, permitiendo a los atacantes ejecutar comandos maliciosos con privilegios elevados en el sistema operativo subyacente.

Todas las versiones de Cisco AsyncOS están afectadas, aunque la explotación requiere condiciones específicas a través de implementaciones físicas y virtuales de Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. La funcionalidad de cuarentena de spam debe estar habilitada y accesible desde internet, un detalle importante, ya que esta característica está deshabilitada por defecto. Cisco aconseja a los administradores verificar su estado a través de la interfaz de gestión web comprobando las configuraciones de interfaz de red pertinentes.

El proveedor rastreó la actividad de explotación al menos hasta finales de noviembre de 2025, cuando el actor vinculado a China UAT-9686 comenzó a abusar de la falla para desplegar herramientas de túnel como ReverseSSH (AquaTunnel) y Chisel, junto con una utilidad de limpieza de registros llamada AquaPurge. Anteriormente, AquaTunnel se ha asociado con diversos grupos chinos, incluidos APT41 y UNC5174. Los adversarios también desplegaron una puerta trasera ligera en Python, AquaShell, que escucha pasivamente solicitudes HTTP POST no autenticadas, decodifica cargas útiles especialmente elaboradas y ejecuta comandos a través del shell del sistema.

Hasta que haya un parche disponible, Cisco recomienda fortalecer los dispositivos afectados restringiendo la exposición a internet, colocándolos detrás de firewalls que solo permitan hosts de confianza, separando las interfaces de correo y gestión, deshabilitando el acceso HTTP al portal administrativo principal y monitoreando de cerca los registros web para detectar actividad anómala. Otras recomendaciones incluyen deshabilitar servicios innecesarios, aplicar mecanismos de autenticación fuertes como SAML o LDAP, y reemplazar las credenciales del administrador por defecto con contraseñas más seguras. La compañía enfatizó que en escenarios de compromiso confirmado, reconstruir el dispositivo es actualmente la única forma efectiva de eliminar la persistencia del atacante.

En respuesta a la amenaza creciente, CISA ha añadido CVE-2025-20393 a su catálogo KEV, ordenando que las agencias de la Rama Ejecutiva Civil Federal implementen mitigaciones antes del 24 de diciembre de 2025.

Además, GreyNoise informó detectando una campaña coordinada y automatizada de stuffing de credenciales dirigida a infraestructura VPN empresarial, incluyendo el VPN SSL de Cisco y los portales GlobalProtect de Palo Alto Networks. La actividad involucra intentos de inicio de sesión a gran escala con scripts en lugar de la explotación de vulnerabilidades, con infraestructura y tiempos consistentes que sugieren una sola campaña pivoteando a través de múltiples plataformas VPN.

La rápida explotación de CVE-2025-20393 y su uso activo por parte de un grupo de hackers respaldado por China sugiere un riesgo creciente de ataques subsecuentes contra organizaciones a nivel mundial. Para minimizar los riesgos de intentos de explotación, confíe en SOC Prime’s AI-Native Detection Intelligence Platform, que equipa a los equipos SOC con tecnologías de punta y el mejor conocimiento en ciberseguridad para anticipar amenazas emergentes manteniendo la eficacia operativa.