Cisco warns of unpatched AsyncOS zero-day exploited in attacks

1 minute de lecture

Mis à jour : December 17, 2025

Vulnérabilité Critique sur les Appliances Cisco AsyncOS

Une faille de sécurité critique, désignée sous le nom de CVE-2025-20393, affecte les appareils Cisco Secure Email Gateway (SEG) et Secure Email and Web Manager (SEWM). Cette vulnérabilité, exploitée activement par un groupe de menace chinois (UAT-9686), permet l’exécution de commandes arbitraires avec des privilèges root et le déploiement de portes dérobées persistantes comme AquaShell, ainsi que des outils de tunneling inverse (AquaTunnel, Chisel) et d’effacement de journaux (AquaPurge).

Points Clés :

Nature de la vulnérabilité : Zero-day non corrigée.
Impact : Exécution de commandes à distance, persistance via des backdoors, vol de données via tunneling.
Acteur menaçant : Groupe chinois UAT-9686, potentiellement lié à des groupes comme UNC5174 et APT41.
Conditions d’exploitation : Configurations non standard des appliances SEG et SEWM, avec la fonctionnalité “Spam Quarantine” exposée à Internet.
Date d’exploitation : Active depuis fin novembre 2025, détectée par Cisco le 10 décembre 2025.

Vulnérabilités :

CVE-2025-20393 : Permet l’exécution de commandes arbitraires avec des privilèges root sur les appliances Cisco AsyncOS affectées.

Recommandations :

En l’absence de correctif immédiat, Cisco recommande aux administrateurs :

Restreindre l’accès aux appareils vulnérables :
- Limiter l’accès à Internet.
- Restreindre les connexions aux hôtes de confiance.
- Placer les appareils derrière des pare-feux.
Sécuriser la configuration :
- Séparer les fonctions de gestion des courriels et de gestion des appareils.
- Désactiver les services inutiles.
- Mettre à jour le logiciel Cisco AsyncOS.
- Implémenter des méthodes d’authentification fortes (SAML, LDAP).
- Changer les mots de passe par défaut.
- Utiliser des certificats SSL/TLS pour sécuriser le trafic de gestion.
Surveillance et investigation :
- Surveiller les journaux web pour détecter toute activité suspecte.
- Conserver les journaux pour les besoins d’investigation.
En cas de suspicion de compromission :
- Contacter le Centre d’Assistance Technique (TAC) de Cisco.
- Si une compromission est confirmée, la reconstruction des appareils est actuellement la seule méthode fiable pour éradiquer la persistance des acteurs malveillants.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Cisco warns of unpatched AsyncOS zero-day exploited in attacks

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast