Se ha detectado una vulnerabilidad crítica zero-day, identificada como CVE-2025-20393, en dispositivos Cisco Secure Email Gateway y Cisco Secure Email and Web Manager, que están siendo activamente explotados en entornos reales. Esta falla afecta a la infraestructura de seguridad del correo electrónico, permitiendo potenciales compromisos sin que exista actualmente un parche disponible, lo que pone en riesgo la confidencialidad, integridad y disponibilidad de las comunicaciones corporativas.
CVE y severidad
| CVE | Severidad | Componentes afectados | Estado de explotación |
|---|---|---|---|
| CVE-2025-20393 | Crítica | Cisco Secure Email Gateway, Cisco Secure Email and Web Manager | Explotación activa sin parche disponible |
Productos afectados
| Versión vulnerable | Primera versión corregida |
|---|---|
| 14.2 y anteriores | 15.0.5-016 |
| 15.0 | 15.0.5-016 |
| 15.5 | 15.5.4-012 |
| 16.0 | 16.0.4-016 |
Versiones corregidas de Cisco Secure Email y Web Manager
| Versión vulnerable | Primera versión corregida |
|---|---|
| 15.0 y anteriores | 15.0.2-007 |
| 15.5 | 15.5.4-007 |
| 16.0 | 16.0.4-010 |
Solución
Cisco ha lanzado parches específicos para cada versión afectada. Las actualizaciones también eliminan configuraciones utilizadas por atacantes para mantener persistencia. No existen soluciones alternativas viables, por lo que se recomienda aplicar los parches de forma urgente.
Recomendaciones
Actualizar inmediatamente todos los dispositivos afectados a las versiones de AsyncOS que contienen la corrección de seguridad y eliminación de persistencia.
Verificar y auditar si la función Spam Quarantine está habilitada y expuesta a redes no confiables, y deshabilitarla si no es necesaria.
Fortalecer el perímetro de red mediante el uso de firewalls y segmentación de red para impedir accesos directos desde internet a los dispositivos de correo.
Monitorizar activamente registros y tráfico para detectar patrones inusuales o indicadores de compromiso asociados a esta campaña.
Contactar con Cisco TAC para confirmar si un dispositivo ha sido comprometido y recibir asistencia especializada.
Implementar autenticación robusta (por ejemplo SAML o LDAP) y deshabilitar servicios innecesarios en los dispositivos expuestos.
Revisar y actualizar políticas de acceso y configuración de seguridad interna para proteger infraestructuras críticas.
Considerar reconstruir dispositivos comprometidos para asegurar la eliminación de cualquier mecanismo persistente dejado por atacantes.