Cisco Warns of Active Attacks Exploiting Unpatched 0-Day in AsyncOS Email Security Appliances

2 minute de lecture

Mis à jour : December 18, 2025

Campagne d’exploitation active d’une faille critique sur les appliances Cisco AsyncOS

Des attaques ciblent activement les appliances Cisco Secure Email Gateway et Cisco Secure Email and Web Manager, exploitant une vulnérabilité zero-day d’une gravité maximale. Cette faille, identifiée comme CVE-2025-20393, permet à des acteurs malveillants d’exécuter des commandes arbitraires avec des privilèges root sur le système d’exploitation sous-jacent des appliances affectées. Un groupe APT, associé à la Chine et nommé UAT-9686, est à l’origine de ces attaques, ayant déjà déployé des outils de tunneling comme ReverseSSH (AquaTunnel) et Chisel, ainsi qu’un utilitaire de nettoyage de journaux appelé AquaPurge et un backdoor nommé AquaShell.

Points clés :

Vulnérabilité exploitée : CVE-2025-20393
Score CVSS : 10.0 (gravité maximale)
Attaqueur : Groupe APT UAT-9686 (associé à la Chine)
Cibles : Cisco Secure Email Gateway et Cisco Secure Email and Web Manager fonctionnant sous Cisco AsyncOS Software.
Impact : Exécution de commandes arbitraires avec privilèges root, maintien de la persistance sur les systèmes compromis.
Outils utilisés : ReverseSSH (AquaTunnel), Chisel, AquaPurge, AquaShell.

Conditions d’exploitation :

Pour qu’une exploitation réussie soit possible, les conditions suivantes doivent être remplies :

L’appliance doit être configurée avec la fonctionnalité de quarantaine de spam.
La fonctionnalité de quarantaine de spam doit être exposée et accessible depuis Internet.
La fonction de quarantaine de spam n’est pas activée par défaut.

Recommandations :

En l’absence de correctif immédiat, il est vivement conseillé aux utilisateurs de :

Restaurer les appliances à une configuration sécurisée.
Limiter l’accès depuis Internet et sécuriser les appareils derrière un pare-feu, n’autorisant le trafic que depuis des hôtes de confiance.
Désactiver les services réseau non requis.
Séparer la fonctionnalité de messagerie et de gestion sur des interfaces réseau distinctes.
Surveiller le trafic des journaux web pour détecter tout trafic inattendu.
Désactiver HTTP pour le portail administrateur principal.
Utiliser des méthodes d’authentification solides pour les utilisateurs finaux (SAML ou LDAP).
Changer le mot de passe administrateur par défaut pour une variante plus sécurisée.
En cas de compromission confirmée, la reconstruction des appliances est actuellement la seule option viable pour éradiquer le mécanisme de persistance de l’attaquant.

La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités connues et exploitées (KEV), exigeant que les agences du gouvernement fédéral américain appliquent les mesures d’atténuation nécessaires avant le 24 décembre 2025.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Cisco Warns of Active Attacks Exploiting Unpatched 0-Day in AsyncOS Email Security Appliances

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast