1. Alertas de Seguridad
  2. Vulnerabilidad crítica de ejecución remota en Cisco Secure Email Gateway y Cisco Secure Email and Web Manager - CVE-2025-20393.

Vulnerabilidad crítica de ejecución remota en Cisco Secure Email Gateway y Cisco Secure Email and Web Manager - CVE-2025-20393.

Fecha de publicación: Lun, 22/12/2025 - 12:16

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

CVE-2025-20393 es una vulnerabilidad crítica (CVSS 10.0/10) que afecta al software Cisco AsyncOS, utilizado en los dispositivos Cisco Secure Email Gateway (SEG) y Cisco Secure Email and Web Manager (SEWM). Esta falla permite que un atacante remoto, sin necesidad de autenticación, ejecute comandos con privilegios de administrador (root), comprometiendo completamente el sistema afectado.

La vulnerabilidad se origina por una validación incorrecta de entradas (CWE-20), lo que permite el envío de solicitudes especialmente manipuladas que el sistema no procesa de forma segura. Como consecuencia, el atacante puede ejecutar código arbitrario, obtener control total del dispositivo, instalar malware persistente, eliminar evidencias y desplazarse lateralmente dentro de la red. Esta vulnerabilidad está siendo explotada activamente en ataques reales dirigidos a infraestructuras de correo electrónico seguro.

Recursos afectados

  • Cisco Secure Email Gateway (SEG) appliances
  • Cisco Secure Email and Web Manager (SEWM) appliances
  • La vulnerabilidad afecta tanto instalaciones físicas como virtuales cuando la funcionalidad de Spam Quarantine está habilitada y accesible desde Internet.

Solución/Mitigación

  • Actualización de software: Por el momento, Cisco está investigando y trabajando en un parche; aún no existe una solución oficial completamente lanzada al público.
  • Restringir el acceso externo a interfaces afectadas, especialmente la funcionalidad de Spam Quarantine.
  • Restringir acceso de administración solo desde redes internas confiables.
  • Monitorear tráfico y registros para detectar actividad sospechosa.

Nota: La única forma de eliminar completamente una intrusión confirmada puede requerir reconstrucción completa del dispositivo si el sistema ya fue comprometido.

Indicadores de compromiso

Se han reportado herramientas y componentes usados por los atacantes en campañas activas, incluyendo:

  • AquaShell (backdoor persistente en Python)
  • AquaTunnel (túnel SSH inverso)
  • AquaPurge (herramienta para eliminar registros)

Estas herramientas ayudan al atacante a mantener acceso persistente y evadir la detección.

Recomendaciones

  • Verificar configuración: Identificar dispositivos vulnerables con interfaces expuestas a Internet.
  • Aplicar restricciones de acceso: Limitar el acceso de administración solo a direcciones IP internas confiables.
  • Seguridad perimetral: Utilizar firewalls y segmentación de red para proteger los dispositivos SEG/SEWM.
  • Monitoreo y respuesta: Implementar detección de intrusiones (IDS/IPS) y revisar logs para actividad inusual.
  • Preparación de respuesta: Planificar una posible reconstrucción del dispositivo si hay evidencia de compromiso.

Referencias

CSA

TECHRADAR