Cisco alerta sobre hackers chinos que explotan vulnerabilidad crítica

Cisco anunció que detectó una campaña de hackers que explota una vulnerabilidad crítica en algunos de sus productos más populares, lo que permite el control total de los dispositivos afectados. La empresa indicó que actualmente no hay parches disponibles para mitigar esta amenaza.

En un aviso de seguridad, Cisco reveló que la campaña de hacking fue descubierta el 10 de diciembre y está dirigida al software Cisco AsyncOS, específicamente a los dispositivos físicos y virtuales Cisco Secure Email Gateway, Cisco Secure Email y Web Manager. Según el aviso, los dispositivos afectados tienen habilitada una función llamada "Spam Quarantine" y son accesibles desde Internet.

A pesar de que esta función no está habilitada por defecto y no debería estar expuesta a Internet, la situación sigue siendo preocupante. Michael Taggart, investigador senior en ciberseguridad de UCLA Health Sciences, comentó a TechCrunch que "la necesidad de una interfaz de gestión expuesta a Internet y ciertas características habilitadas limitará la superficie de ataque para esta vulnerabilidad".

Sin embargo, Kevin Beaumont, un investigador de seguridad que rastrea campañas de hacking, advirtió que esta campaña es particularmente problemática, ya que muchas grandes organizaciones utilizan los productos afectados, no hay parches disponibles y no está claro cuánto tiempo los hackers han tenido puertas traseras en los sistemas comprometidos.

Por el momento, Cisco no ha revelado cuántos clientes se han visto afectados por esta vulnerabilidad.

Al ser contactada por TechCrunch, la portavoz de Cisco, Meredith Corley, no respondió a una serie de preguntas, y en su lugar, indicó que la empresa "está investigando activamente el problema y desarrollando una solución permanente".

La solución que Cisco sugiere a los clientes en este momento es esencialmente reiniciar y reconstruir el software de los productos afectados, ya que no hay un parche disponible. "En caso de confirmarse un compromiso, reconstruir los dispositivos es, actualmente, la única opción viable para erradicar el mecanismo de persistencia de los actores de amenazas en el dispositivo", escribió la empresa.

Los hackers detrás de esta campaña están vinculados a China y a otros grupos de hacking conocidos vinculados al gobierno chino, según Cisco Talos, el equipo de investigación de inteligencia de amenazas de la compañía, que publicó un blog sobre la campaña de hacking.

Los investigadores señalaron que los hackers están aprovechando la vulnerabilidad, que en este momento es un zero-day, para instalar puertas traseras persistentes, y que la campaña ha estado en curso "desde al menos finales de noviembre de 2025".