Control total y sin parches: Cisco confirma la explotación de una vulnerabilidad de día cero en productos populares
Una campaña para instalar puertas traseras permanentes está en marcha al menos desde finales de noviembre de 2025.
Cisco advirtió que los atacantes ya están explotando una vulnerabilidad crítica en sus productos populares, la cual permite tomar el control total de los dispositivos afectados, y al momento del anuncio aún no existía un parche. La compañía informó que detectó la campaña el 10 de diciembre: los ataques están dirigidos al software Cisco AsyncOS y, en particular, a las soluciones físicas y virtuales Cisco Secure Email Gateway, Cisco Secure Email y Web Manager.
Según Cisco, están en riesgo sobre todo los dispositivos en los que la función Spam Quarantine está activada y además son accesibles desde Internet. La compañía enfatizó que Spam Quarantine no está activada por defecto y que en general no requiere acceso público desde Internet, lo que potencialmente reduce el número de instalaciones realmente vulnerables. El investigador de UCLA Health Sciences Michael Taggart señaló que la necesidad de una interfaz de administración accesible desde Internet y de funciones activadas limita la superficie de ataque para esta vulnerabilidad.
Al mismo tiempo, el investigador Kevin Beaumont, que sigue campañas de hackers, calificó la situación de especialmente preocupante: los productos afectados son ampliamente utilizados por grandes organizaciones, no hay parche, y además no está claro cuánto tiempo los atacantes pudieron mantener puertas traseras en sistemas comprometidos. Cisco todavía no revela cuántos clientes resultaron afectados. En respuesta a una solicitud de TechCrunch, la portavoz de la compañía Meredith Corley evitó responder preguntas adicionales y afirmó únicamente que Cisco investiga activamente el incidente y está desarrollando medidas permanentes de mitigación.
Dado que aún no hay parche, la recomendación actual de Cisco equivale en la práctica a borrar por completo y reconstruir la parte de software de los productos afectados. La compañía indicó expresamente que, si se confirma el compromiso, la reconstrucción de los dispositivos es ahora la única forma viable de eliminar el mecanismo de persistencia de los atacantes en el sistema. Según Cisco Talos, la campaña está vinculada a China y a otros grupos gubernamentales chinos conocidos, y los atacantes utilizan la vulnerabilidad de día cero para instalar puertas traseras persistentes. Los investigadores de Talos escriben que la campaña continúa al menos desde finales de noviembre de 2025.