Des pirates informatiques exploitent une faille zero-day dans les systèmes de messagerie Cisco. Les cybercriminels profitent de l'absence de correctif à ce stade pour obtenir un accès élevé aux systèmes ciblés.
Alerte rouge chez Cisco. Depuis début décembre, l'équipementier américain affronte une vague d'attaques sophistiquées qui vise ses solutions de messagerie d'entreprise. Une vulnérabilité inédite permet aux assaillants de prendre le contrôle absolu des systèmes ciblés. L'affaire prend une dimension géopolitique, puisque plusieurs experts en cybersécurité pointent du doigt un groupuscule potentiellement lié à Pékin ou parraîné par le régime, bien qu'aucune attribution formelle n'ait été établie à ce stade.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Toutes les appliances Cisco AsyncOS sont potentiellement vulnérables
Chez Cisco, c'est le logiciel AsyncOS qui se retrouve sur la sellette. Ce système d'exploitation équipe deux gammes de produits phares, Cisco Secure Email Gateway et Cisco Secure Email and Web Manager. Le verdict est simple, car toutes les versions sont vulnérables, qu'elles tournent sur des machines physiques ou dans des environnements virtualisés. Ce n'est pas forcément très rassurant, quand on connaît le nombre d'entreprises qui s'appuient sur ces infrastructures critiques.
Heureusement, la menace ne plane pas forcément sur tous les clients. Pour qu'un équipement soit à la merci des pirates, un scénario précis doit se présenter. L'appliance doit d'abord avoir activé son module de filtrage anti-spam avec quarantaine. Ensuite, et c'est le point crucial, cette interface doit être directement joignable depuis le web. Un détail qui change tout, c'est que cette configuration n'est pas cochée d'origine lors de l'installation.
Les pirates qui réussissent leur intrusion décrochent le contrôle administrateur maximum du système, appelé « privilèges root ». Ils peuvent alors tout faire, c'est-à-dire lire les e-mails, installer des logiciels malveillants, voler des données. L'enquête technique révèle un détail un peu piquant, synonyme de persistance. Les attaquants implantent une porte dérobée dans l'appareil. Cette backdoor leur permet de revenir à volonté, même si l'attaque initiale est découverte.
Aucun correctif disponible pour la vulnérabilité
Le flou demeure encore sur l'ampleur réelle des dégâts. Cisco garde pour le moment le silence sur le décompte des victimes et refuse de quantifier le nombre d'organisations dans le collimateur. Une discrétion qui en dit long sur la sensibilité du dossier. L'alerte officielle, diffusée le 17 décembre et référencée CVE-2025-20393, classe la vulnérabilité au niveau de criticité maximal : 10 sur 10 selon le barème CVSS.
En l'absence de correctif logiciel, Cisco n'a pas trop de choix à sa disposition. L'entreprise californienne explique qu'il faut « restaurer la configuration sécurisée du système ». En d'autres termes, les responsables informatiques doivent formater et tout réinstaller à zéro. C'est aujourd'hui la seule parade garantie pour déloger définitivement les mécanismes de persistance que les attaquants ont savamment dissimulés dans les rouages des appliances infectées.
Les clients qui ne peuvent sacrifier immédiatement leurs données peuvent contacter le centre d'assistance technique de Cisco, pour lancer un audit. La démarche pourrait aider à détecter une éventuelle compromission. Par ailleurs, l'équipementier rappelle une règle d'or en cybersécurité, qui est que ces appliances ne doivent jamais être exposées directement sur Internet. L'accès doit être protégé par des pare-feu et limité aux administrateurs autorisés uniquement.
