Alors que l’année 2025 touche à sa fin, une vulnérabilité critique de type zero-day dans le logiciel Cisco AsyncOS, identifiée sous le code CVE-2025-20393, a été découverte. Cette faille, dotée d’un score CVSS de gravité maximale de 10,0, est activement exploitée par le groupe APT soutenu par la Chine, connu sous le nom de UAT-9686. La vulnérabilité permet aux attaquants d’exécuter des commandes arbitraires avec des privilèges root sur les appareils concernés, ciblant principalement le Cisco Secure Email Gateway et le Cisco Secure Email and Web Manager.
Le problème réside dans une validation incorrecte des entrées, affectant toutes les versions de Cisco AsyncOS. Toutefois, l’exploitation nécessite des conditions spécifiques, notamment l’activation et l’accessibilité depuis Internet de la fonction de quarantaine des spams. Cisco a conseillé aux administrateurs de vérifier l’état de cette fonction et d’appliquer diverses mesures de sécurité pour atténuer les risques en attendant la disponibilité d’un correctif. Ces mesures comprennent la restriction de l’exposition à Internet, l’utilisation de pare-feu et l’application de mécanismes d’authentification robustes.
L’activité d’exploitation a été retracée à la fin novembre 2025, les attaquants ayant déployé des outils tels que ReverseSSH et AquaPurge. En réponse à cette menace croissante, la CISA a ajouté le CVE-2025-20393 à son catalogue KEV, exigeant des agences fédérales qu’elles mettent en œuvre des mesures d’atténuation d’ici le 24 décembre 2025. Par ailleurs, une campagne automatisée distincte de bourrage d’identifiants ciblant les infrastructures VPN d’entreprise a été identifiée, indiquant un paysage de menaces plus large. Pour lutter contre ces menaces, les organisations sont encouragées à utiliser des plateformes de détection avancées afin de devancer les risques émergents en matière de cybersécurité.
