Le géant du réseau Cisco a révélé une cyberattaque potentiellement liée à des acteurs malveillants chinois exploitant une faille de type “zero-day” dans son logiciel. Cette vulnérabilité, découverte dans Cisco AsyncOS, permet aux attaquants d’exécuter des commandes avec des privilèges root sur les systèmes affectés. L’attaque cible la passerelle sécurisée de messagerie électronique et le gestionnaire web, en se concentrant sur les appareils dotés de la fonctionnalité “Spam Quarantine” activée.
La société a identifié les tentatives d’intrusion le 10 décembre et a depuis isolé un nombre limité de dispositifs concernés. Cisco n’a pas divulgué le nombre de clients impactés, mais enquête activement sur le problème et travaille sur une solution permanente. Actuellement, la seule solution pour les systèmes compromis est une reconstruction complète du logiciel pour éliminer la menace persistante.
La vulnérabilité, répertoriée sous le code CVE-2025-20393, implique une validation incorrecte des entrées, permettant l’exécution d’instructions malveillantes avec des privilèges élevés. Cisco précise qu’une attaque réussie nécessite des conditions spécifiques, notamment en lien avec la fonctionnalité Spam Quarantine.
La campagne, attribuée à des groupes de hackers chinois, est en cours depuis au moins la fin du mois de novembre 2025. Dans le cadre de l’attaque, une porte dérobée légère en Python, nommée AquaShell, a été déployée, capable d’exécuter des commandes encodées reçues via des requêtes HTTP POST non authentifiées.
