Cisco et les autorités de cybersécurité alertent sur deux vulnérabilités critiques découvertes dans les équipements de l'entreprise, qui permettent à des hackers de prendre le contrôle total. La menace est réelle, puisque les pirates exploitent ces deux failles.
L'ANSSI et Cisco tirent la sonnette d'alarme. Des cybercriminels exploitent activement deux failles majeures pour tenter de s'infiltrer dans les pare-feux d'entreprises du monde entier. Les hackers mènent une campagne malveillante, baptisée ArcaneDoor, qui révèle un niveau de sophistication technique rarement observé dans le paysage cyber.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Deux failles critiques ouvrent les portes des pare-feux Cisco
Le jeudi 25 septembre, l'ANSSI, l'agence cyber française, a publié un bulletin d'alerte critique. Deux failles majeures ont été identifiées. Référencées CVE-2025-20362 et CVE-2025-20333, elles transforment les pare-feux Cisco ASA (Adaptative Security Appliance) et FTD (Firewall Threat Defense) en véritables passoires. La première vulnérabilité permet aux pirates d'entrer sans mot de passe, la seconde leur donne les pleins pouvoirs sur la machine infectée.
Exploitées ensemble, ces deux failles forment un cocktail redoutable. Elles contournent la sécurité puis permettent de prendre le contrôle total de l'équipement. Cisco confirme que des attaques réelles exploitent déjà cette combinaison depuis le mois de mai. Les versions ASA 9.12 à 9.23 et FTD 7.0 à 7.7 sont affectées, ce qui représente des milliers d'installations mondiales.
Ces pare-feux sont la première ligne de défense de milliers d'organisations. Qu'il s'agisse de banques, hôpitaux, administrations ou opérateurs télécoms, tous utilisent ces « gardiens numériques » pour filtrer le trafic réseau. Leur détournement équivaut à remettre les clés du coffre-fort à des cambrioleurs expérimentés.
ArcaneDoor, le groupe de hackers qui affole la planète cyber
Cisco en a dit plus sur l'identité des cybercriminels. L'entreprise californienne explique que la campagne malveillante est l'œuvre du groupe ArcaneDoor, déjà responsable d'attaques sophistiquées l'année dernière.
Les cybercriminels derrière l'exploitation de ces failles maîtrisent l'art de la discrétion. Ils effacent méticuleusement leurs traces en neutralisant les journaux système, détournent les commandes tapées par les administrateurs et n'hésitent pas à provoquer des plantages pour brouiller les pistes. Un modus operandi qui montre leur expertise technique redoutable.
Leur véritable tour de force se cache dans les entrailles de la machine. Les pirates s'attaquent au ROMMON, le programme qui démarre l'équipement avant même le système d'exploitation. Sur les anciens modèles ASA 5500-X (références 5512-X à 5585-X), cette couche profonde n'est pas protégée. Résultat, les hackers installent une porte dérobée indétectable qui résiste à toutes les tentatives de nettoyage.
Des solutions existent pour se protéger
La communauté cyber mondiale doit donc s'organiser. L'ANSSI, la CISA américaine, le NCSC britannique et leurs homologues canadiens et australiens collaborent étroitement.
Heureusement, des solutions existent pour stopper l'hémorragie. Les administrateurs ont deux possibilités. Soit ils installent immédiatement les correctifs Cisco (c'est la solution idéale), soit ils coupent temporairement tous les accès VPN à distance. La deuxième solution bloque certes le télétravail et les connexions externes, mais elle ferme définitivement la porte aux pirates en attendant la mise à jour.
Cisco a intégré un mécanisme d'auto-guérison dans ses correctifs. Lors de la mise à jour, le système détecte automatiquement les modifications ROMMON malveillantes et les supprime. Un fichier témoin, firmware_update.log, apparaît alors sur le disque, confirmant la désinfection. Les administrateurs doivent immédiatement contacter le support technique s'ils découvrent ce fichier.
Pour les équipements déjà infectés, il n'y a qu'une seule solution, qui consiste à faire table rase du passé. Autrement dit, cela consiste à tout effacer, repartir de zéro avec une configuration vierge, changer tous les mots de passe et renouveler tous les certificats de sécurité. Une remise à neuf complète demande des heures de travail mais reste le seul moyen de garantir l'élimination totale des traces laissées par les pirates.
