Publié le 16 janvier 2026 14:54:00. Cisco a publié des correctifs de sécurité pour ses passerelles de messagerie et ses gestionnaires web sécurisés, après avoir détecté une exploitation active d’une vulnérabilité critique par des attaquants potentiellement liés à la Chine, depuis la fin novembre 2025. Les entreprises sont invitées à vérifier et, si nécessaire, à reconstruire leurs systèmes.
- Cisco a corrigé une vulnérabilité (CVE-2025-20393) dans son AsyncOS, exploitée par des acteurs malveillants.
- L’attaque permettait l’exécution de commandes avec les privilèges les plus élevés sur les systèmes compromis.
- Des outils malveillants spécifiques, dont une porte dérobée nommée AquaShell, ont été installés sur certains appareils.
Cisco a finalement mis à disposition des mises à jour de sécurité pour ses appliances Email Security Gateway et Secure Email and Web Manager, visant à corriger la vulnérabilité CVE-2025-20393. Cette faille, présente dans le système d’exploitation AsyncOS, a été activement exploitée depuis au moins la fin du mois de novembre 2025, selon les informations de l’entreprise.
L’existence de cette vulnérabilité et son exploitation dans la nature ont été rendues publiques le 17 décembre 2025, incitant Cisco à demander à ses clients de vérifier si leurs appareils avaient été compromis et, le cas échéant, de les reconstruire complètement.
Selon Cisco, la vulnérabilité CVE-2025-20393 est due à une validation insuffisante des requêtes HTTP par la fonctionnalité de quarantaine des spams. L’entreprise explique qu’un attaquant peut exploiter cette faille en envoyant une requête HTTP falsifiée à un appareil vulnérable.
« Cette attaque permet aux acteurs malveillants non authentifiés d’exécuter des commandes arbitraires avec des privilèges root sur le système d’exploitation sous-jacent d’un appareil concerné. »
Cisco
Les chercheurs de Cisco Talos ont découvert que les attaquants avaient installé, sur un nombre limité d’appliances, une porte dérobée Python sur mesure (AquaShell), un outil de suppression des journaux (AquaPurge), une porte dérobée SSH inversée (AquaTunnel) et un outil de tunneling open source (Chisel) utilisé pour rediriger le trafic.
La compromission des appareils n’était possible que si la fonctionnalité de quarantaine des spams était activée et accessible depuis Internet. Cisco n’a pas encore communiqué le nombre total de systèmes affectés, mais précise que cette fonctionnalité n’est pas activée par défaut.
En décembre, la Cybersecurity and Infrastructure Security Agency (CISA) américaine a ajouté cette vulnérabilité à son catalogue de vulnérabilités exploitées connues et a ordonné aux agences civiles fédérales de traiter la vulnérabilité CVE-2025-20393 en utilisant les mesures d’atténuation fournies par Cisco.
Désormais, toutes les organisations utilisant les produits Cisco concernés doivent appliquer les mises à jour de sécurité. Les appliances Cisco Email Security Gateway doivent être mises à niveau vers AsyncOS v15.0.5-016 ou une version ultérieure, 15.5.4-012 ou une version ultérieure, ou 16.0.4-016 ou une version ultérieure. Les appareils Secure Email et Web Manager doivent être mis à niveau vers AsyncOS v15.0.2-007 ou une version ultérieure, 15.5.4-007 ou une version ultérieure, ou 16.0.4-010 ou une version ultérieure.
Un redémarrage automatique des appareils est prévu après l’application des mises à jour. Cisco ajoute que le correctif élimine la vulnérabilité exploitée et supprime les mécanismes de persistance identifiés lors de cette campagne d’attaque. L’entreprise conseille aux organisations de renforcer davantage la sécurité de leurs appareils.
