Cisco anunció que los piratas informáticos vinculados a China están explotando una vulnerabilidad de día cero en su software AsyncOS en los dispositivos Cisco Secure Email Gateway, Cisco Secure Email y Web Manager, lo que permite la adquisición total del dispositivo sin parches disponibles todavía. La empresa detectado la campaña de piratería el 10 de diciembre. Esta campaña está dirigida a dispositivos físicos y virtuales que ejecutan el software Cisco AsyncOS. La vulnerabilidad afecta específicamente a los dispositivos donde la función de cuarentena de spam permanece habilitada y se puede acceder a los dispositivos desde Internet. Cisco enfatizó en su aviso de seguridad que los administradores no habilitan la cuarentena de spam de forma predeterminada. El aviso aclaró además que esta función no requiere exposición a Internet para su funcionamiento normal. Michael Taggart, investigador senior de ciberseguridad de UCLA Health Sciences, proporcionó un análisis a TechCrunch. Afirmó que «el requisito de una interfaz de administración con acceso a Internet y la habilitación de ciertas funciones limitarán la superficie de ataque de esta vulnerabilidad». La observación de Taggart destaca cómo las elecciones de configuración de los administradores influyen en los riesgos de exposición en estos sistemas. Kevin Beaumont, un investigador de seguridad que rastrea las campañas de piratería, también habló con TechCrunch sobre las implicaciones de la campaña. Él descrito resulta particularmente problemático por varias razones. Las grandes organizaciones implementan ampliamente los productos afectados en sus redes. No existen parches para solucionar el problema en este momento. La duración de la presencia de la puerta trasera de los piratas informáticos en los sistemas comprometidos sigue sin estar clara. Cisco no ha revelado información sobre el número de clientes afectados. TechCrunch se acercó a la portavoz de Cisco, Meredith Corley, con una serie de preguntas. Corley respondió que la empresa “está investigando activamente el problema y desarrollando una solución permanente”. No ofreció más detalles sobre esas consultas. La guía actual de Cisco indica a los clientes que borren y reconstruyan el software en los dispositivos afectados. El aviso de seguridad explica este enfoque en detalle: «En caso de compromiso confirmado, reconstruir los dispositivos es, actualmente, la única opción viable para erradicar el mecanismo de persistencia de los actores de amenazas del dispositivo». Este proceso elimina por completo la persistencia establecida de los piratas informáticos. Cisco Talos, el equipo de investigación de inteligencia de amenazas de la compañía, detalló la operación en un publicación de blog. La publicación atribuye a los piratas informáticos a China y los conecta con otros grupos de piratas informáticos conocidos del gobierno chino. Los investigadores de Talos documentaron cómo los actores explotan la vulnerabilidad de día cero para instalar puertas traseras persistentes. La evidencia muestra que la campaña está activa desde al menos finales de noviembre de 2025. La publicación del blog describe los métodos técnicos utilizados para el acceso inicial y la persistencia posterior en los dispositivos comprometidos.
