Cisco, le géant des réseaux, a récemment identifié une faille de sécurité zero-day dans son logiciel, potentiellement exploitée par des cybercriminels liés à la Chine. Ces attaques ciblent principalement sa passerelle de messagerie sécurisée et son gestionnaire web. Découvertes le 10 décembre, ces intrusions concernent un nombre limité d’appareils. Bien que les clients affectés n’aient pas encore été identifiés, Cisco a précisé que cette faille permet l’exécution de commandes arbitraires avec des privilèges root sur le système d’exploitation des appareils compromis. Une enquête en cours a révélé qu’un mécanisme de persistance a été implanté par les attaquants pour maintenir le contrôle sur ces appareils.
Cette faille, d’une gravité maximale, a été détectée dans Cisco AsyncOS. Les responsables, identifiés sous le nom de code UAT-9686, exploitent cette vulnérabilité pour laquelle aucun correctif n’est encore disponible. Les appareils touchés sont ceux avec la fonctionnalité “Spam Quarantine” activée et accessibles via Internet. La vulnérabilité, référencée sous CVE-2025-20393, résulte d’une validation incorrecte des entrées, permettant l’exécution d’instructions malveillantes avec des privilèges élevés.
Cisco n’a pas encore fourni de détails sur l’ampleur des attaques ni sur le nombre de clients affectés, mais a déclaré travailler activement à une solution permanente. Pour l’instant, l’entreprise recommande de reconstruire le logiciel des produits compromis pour éliminer la menace.
Ces attaques, attribuées à des groupes de hackers chinois, exploitent cette vulnérabilité zero-day pour installer des portes dérobées persistantes. Cette campagne se poursuit depuis au moins fin novembre 2025. Un backdoor léger en Python, nommé AquaShell, a également été déployé, capable de recevoir et d’exécuter des commandes encodées via des requêtes HTTP POST non authentifiées.
