CVE-2025-20393
Mis à jour :
Exécution de Commandes à Distance sur Cisco Secure Email
Une faille critique, référencée CVE-2025-20393, a été identifiée dans les appareils Cisco Secure Email Gateway et Cisco Secure Email and Web Manager. Cette vulnérabilité, due à une validation d’entrée incorrecte, permet à un attaquant distant et non authentifié d’exécuter des commandes arbitraires avec des privilèges root sur le système d’exploitation sous-jacent.
L’exploitation se produit lorsque la fonctionnalité de quarantaine de spam est exposée à Internet. Des menaces ont été observées en exploitation active, visant à installer des portes dérobées (telles que AquaShell et AquaTunnel), des outils de manipulation de journaux (comme AquaPurge) et des proxys de trafic (Chisel).
Points clés:
- Type de vulnérabilité : Validation d’entrée incorrecte.
- Produits affectés : Cisco Secure Email Gateway, Cisco Secure Email and Web Manager.
- Impact : Exécution de commandes arbitraires avec privilèges root.
- Scénario d’exploitation : Exposition de la fonction de quarantaine de spam à Internet.
- Menaces observées : Installation de backdoors, outils de manipulation de logs, proxys de trafic.
- Reconnaissance : Ajoutée au catalogue des vulnérabilités exploitées connues par CISA.
Vulnérabilité:
- CVE-2025-20393
Recommandations:
Bien que l’article ne détaille pas explicitement les recommandations de remédiation, l’ajout de cette vulnérabilité au catalogue des vulnérabilités exploitées connues par CISA implique une urgence pour les organisations utilisant les produits affectés. Il est conseillé de consulter la documentation officielle de Cisco pour les correctifs et les mesures de mitigation spécifiques. La sécurisation de l’exposition de la fonction de quarantaine de spam à Internet est une étape cruciale.