CVE-2025-20393
Mis à jour :
Exploitation de vulnérabilité critique sur les passerelles de sécurité email Cisco
Une faille de sécurité identifiée sous la référence CVE-2025-20393 affecte les appliances Cisco Secure Email Gateway et Cisco Secure Email and Web Manager. Cette vulnérabilité, liée à une validation incorrecte des entrées, permet à un attaquant distant non authentifié d’exécuter des commandes arbitraires avec des privilèges élevés (root) sur le système d’exploitation sous-jacent de l’appareil compromis.
Points Clés :
- Nature de la vulnérabilité : Validation incorrecte des entrées (Improper Input Validation).
- Impact : Exécution de commandes arbitraires avec des privilèges root à distance et sans authentification.
- Condition d’exploitation : La fonction de mise en quarantaine des spams (Spam Quarantine) doit être exposée à Internet.
- Exploitation observée : La vulnérabilité est activement exploitée dans la nature.
Vulnérabilités (avec CVE) :
- CVE-2025-20393 : Improper Input Validation permettant l’exécution de commandes arbitraires avec des privilèges root.
Recommandations :
- Les utilisateurs des appliances Cisco Secure Email Gateway et Cisco Secure Email and Web Manager doivent impérativement mettre à jour leurs systèmes.
- Il est conseillé de restreindre l’accès à la fonction de mise en quarantaine des spams à Internet autant que possible.
- CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités connues et exploitées, soulignant l’urgence de la correction.
Les attaquants ont déjà utilisé cette faille pour déployer des portes dérobées (telles que AquaShell et AquaTunnel), ainsi que des outils pour manipuler les journaux (AquaPurge) et le proxy de trafic (Chisel).