Alors que l’année 2025 touche à sa fin, une vulnérabilité critique dans le logiciel AsyncOS de Cisco, identifiée sous le code CVE-2025-20393, a été découverte. Cette faille zero-day, qui atteint le score maximal de 10,0 sur l’échelle CVSS de gravité, est activement exploitée par un groupe APT lié à la Chine, connu sous le nom de UAT-9686. Ce groupe cible les systèmes Cisco Secure Email Gateway et Cisco Secure Email and Web Manager.
La vulnérabilité permet aux attaquants d’exécuter des commandes arbitraires avec des privilèges root sur les appareils affectés, en raison d’une validation incorrecte des entrées. Cisco a précisé que l’exploitation nécessite des conditions spécifiques, telles que l’activation de la fonction de mise en quarantaine des spams et son accessibilité depuis Internet, bien que cette fonction soit désactivée par défaut. L’entreprise a conseillé aux administrateurs de vérifier l’état de cette fonction via l’interface de gestion web.
Les activités d’exploitation ont été retracées jusqu’à la fin novembre 2025, les attaquants déployant des outils comme ReverseSSH, Chisel et une porte dérobée légère nommée AquaShell pour maintenir le contrôle sur les systèmes compromis. En attendant la publication d’un correctif, Cisco recommande de restreindre l’exposition à Internet, d’utiliser des pare-feux et de renforcer les mécanismes d’authentification pour atténuer les risques. Dans les cas confirmés de compromission, il est conseillé de reconstruire l’appareil pour éliminer toute persistance.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté CVE-2025-20393 à son catalogue des vulnérabilités exploitées connues, exhortant les agences fédérales à mettre en œuvre des mesures d’atténuation d’ici le 24 décembre 2025. Parallèlement, les entreprises de sécurité ont noté des campagnes coordonnées de bourrage d’identifiants ciblant les VPN d’entreprise, ce qui suggère un paysage de menaces plus large. Il est conseillé aux organisations d’utiliser des plateformes de détection avancées pour anticiper ces menaces émergentes.
