Cisco, le géant des réseaux, a détecté une faille de sécurité zero-day dans son logiciel qui pourrait être exploitée par des acteurs de la menace liés à la Chine. Ces attaques ciblent principalement sa passerelle de messagerie sécurisée et son gestionnaire web. Découvertes le 10 décembre, ces intrusions concernent un nombre limité d’appareils. Bien que les clients affectés n’aient pas encore été identifiés, Cisco a précisé que cette faille permet l’exécution de commandes arbitraires avec des privilèges root sur le système d’exploitation des appareils compromis. Une enquête en cours a révélé qu’un mécanisme de persistance a été implanté par les attaquants pour maintenir le contrôle sur ces appareils.
La faille, d’une gravité maximale, a été repérée dans Cisco AsyncOS. Les responsables, identifiés sous le nom de code UAT-9686, exploitent cette vulnérabilité sans correctif disponible à ce jour. Les appareils touchés sont ceux avec la fonctionnalité “Spam Quarantine” activée et accessibles via Internet. La vulnérabilité, référencée sous CVE-2025-20393, implique une validation incorrecte des entrées permettant l’exécution d’instructions malveillantes avec des privilèges élevés.
Cisco n’a pas encore fourni de détails sur l’ampleur des attaques ni sur le nombre de clients affectés, mais a déclaré travailler activement à une solution permanente. Pour le moment, l’entreprise recommande de reconstruire le logiciel des produits compromis pour éliminer la menace.
Les attaques, liées à des groupes de hackers chinois, exploitent cette vulnérabilité zero-day pour installer des portes dérobées persistantes. Cette campagne se poursuit depuis au moins fin novembre 2025. Un backdoor léger en Python, nommé AquaShell, a également été déployé, capable de recevoir et d’exécuter des commandes encodées via des requêtes HTTP POST non authentifiées.
