Cisco a corrigé une vulnérabilité sévère après avoir découvert des accès clandestins dans certains de ses équipements de messagerie. Des attaquants liés à la Chine ont exploité ce défaut pendant plusieurs semaines. Le correctif a coupé l’accès, mais de nombreuses entreprises ont dû vérifier ce qui s’était déjà joué sur leurs réseaux.
Parce que cela ne nous touche pas directement, on ignore que dans les entreprises, les équipements chargés de filtrer les e-mails fonctionnent en permanence, souvent loin des écrans des administrateurs, mais pas des attaquants, qui ont profité de cette discrétion.Comme on vous l'avait annoncé, ils ont exploité un défaut logiciel dans Cisco Secure Email Gateway et Secure Email and Web Manager pour entrer directement dans ces systèmes. Les équipes de Cisco ont ensuite retrouvé des traces d’exécution de commandes avec des privilèges élevés, sans authentification classique. L’éditeur a rattaché ces opérations à un groupe suivi de longue date et lié à la Chine. Après avoir analysé les accès et confirmé l’exploitation active, Cisco a publié une mise à jour de sécurité et alerté ses clients. Dans beaucoup d’organisations, les équipes informatiques ont dû intervenir sans attendre.
Des attaquants déjà installés au moment de la découverte
Les analystes de Cisco Talos ont repéré les premières anomalies lors d’analyses internes menées sur des équipements clients. Ils ont observé des connexions administrateur qui ne correspondaient à aucun compte connu. En examinant les journaux, ils ont constaté l’exécution de commandes système avec des droits complets. Ces accès ne provenaient pas d’une erreur de configuration, mais d’un défaut logiciel précis, référencé sous le numéro CVE-2025-20393.
Grâce à cette vulnérabilité, des attaquants ont pris la main à distance sans fournir d’identifiants valides. Une fois à l’intérieur, ils ont installé leurs propres accès. Ils ont ajouté des comptes, modifié certains fichiers système et placé des scripts destinés à survivre aux redémarrages. Ces actions montrent une recherche de stabilité plutôt qu’un passage éclair. Les équipements touchés traitaient chaque jour des volumes importants de messages professionnels, avec des pièces jointes et des échanges internes sensibles.
Cisco a confirmé que ces manipulations avaient commencé avant la publication du correctif. Autrement dit, plusieurs entreprises ont appliqué la mise à jour alors que des accès existaient déjà. L’éditeur a donc publié, en parallèle du correctif, une liste détaillée d’éléments à vérifier. Les équipes informatiques ont dû comparer leurs configurations avec des états antérieurs et inspecter les journaux sur plusieurs semaines.
Dans certains environnements, les administrateurs ont découvert des comptes inconnus ou des tâches planifiées qu’aucun membre de l’équipe n’avait créées. Dans d’autres cas, les vérifications n’ont rien montré de suspect. Les équipes ont dû examiner chaque installation séparément, sans disposer d’un scénario unique applicable partout.
Une réponse sous pression et des vérifications lourdes
Cisco a attribué ces opérations à un groupe suivi sous le nom UAT-9686. Les équipes de l’éditeur ont appuyé cette attribution sur plusieurs éléments techniques, comme les méthodes utilisées, les horaires d’activité et certaines infrastructures observées lors des investigations. Ce groupe est coutumier de la méthode d'accès discret et prolongé, déjà observée lors d’autres campagnes liées à la Chine.
Après la confirmation de l’exploitation active, Cisco a diffusé le correctif et a contacté directement ses clients concernés. Les entreprises devaient vérifier les accès, supprimer les comptes suspects, changer certains identifiants et, dans les cas les plus sensibles, réinstaller complètement l’équipement à partir d’une base saine. Cisco a également demandé aux administrateurs de vérifier manuellement les comptes configurés sur les équipements, de rechercher toute commande exécutée en dehors des procédures habituelles et, lorsque le doute persistait, de réinstaller complètement le système avant de remettre le service en production.
Ces opérations ont demandé du temps et de la coordination. Les équipements de messagerie fonctionnement au quotidien dans les entreprises. Les arrêter, même brièvement, implique d’organiser des fenêtres de maintenance et d’informer les utilisateurs. Malgré ces contraintes, de nombreuses équipes se sont exécutées, n'ayant pas d'alternative.
Au fil des vérifications, les équipes ont constaté une faiblesse organisationnelle fréquente. En temps normal, elles surveillent de près les serveurs applicatifs et les postes utilisateurs, mais elles accordent parfois moins d’attention aux équipements intermédiaires, surtout lorsqu’ils fonctionnent sans incident apparent depuis des années. Les attaquants ont exploité cette zone grise.
Cisco a listé les versions touchées, décrit les mécanismes d’exploitation et fourni des outils d’aide à la détection. Il a également rappelé que le correctif bloquait la vulnérabilité, mais qu’il ne supprimait pas automatiquement les accès ajoutés auparavant.
Source : The Register, Cisco
