Cisco a annoncé que des pirates informatiques liés à la Chine exploitaient une vulnérabilité zero-day dans son logiciel AsyncOS sur les appliances Cisco Secure Email Gateway, Cisco Secure Email et Web Manager, permettant une prise de contrôle complète de l’appareil sans qu’aucun correctif ne soit encore disponible. La société détecté la campagne de piratage du 10 décembre. Cette campagne cible les appareils physiques et virtuels exécutant le logiciel Cisco AsyncOS. La vulnérabilité affecte spécifiquement les appareils sur lesquels la fonctionnalité Spam Quarantine reste activée et les appareils restent accessibles depuis Internet. Cisco a souligné dans son avis de sécurité que les administrateurs n’activent pas Spam Quarantine par défaut. L’avis précise en outre que cette fonctionnalité ne nécessite aucune exposition à Internet pour un fonctionnement normal. Michael Taggart, chercheur principal en cybersécurité à l’UCLA Health Sciences, a fourni une analyse à TechCrunch. Il a déclaré : « l’exigence d’une interface de gestion accessible sur Internet et l’activation de certaines fonctionnalités limiteront la surface d’attaque de cette vulnérabilité ». L’observation de Taggart met en évidence la manière dont les choix de configuration des administrateurs influencent les risques d’exposition dans ces systèmes. Kevin Beaumont, un chercheur en sécurité qui suit les campagnes de piratage, s’est également entretenu avec TechCrunch sur les implications de la campagne. Il décrit cela semble particulièrement problématique pour plusieurs raisons. Les grandes organisations déploient largement les produits concernés sur l’ensemble de leurs réseaux. Aucun correctif n’existe pour résoudre le problème à l’heure actuelle. La durée de la présence des pirates dans les systèmes compromis reste incertaine. Cisco n’a divulgué aucune information sur le nombre de clients concernés. TechCrunch a contacté la porte-parole de Cisco, Meredith Corley, pour lui poser une série de questions. Corley a répondu que l’entreprise « étudie activement le problème et développe une solution permanente ». Elle n’a fourni aucun autre détail sur ces demandes. Les directives actuelles de Cisco demandent aux clients d’effacer et de reconstruire le logiciel sur les appareils concernés. L’avis de sécurité explique cette approche en détail : « En cas de compromission confirmée, la reconstruction des appliances est, actuellement, la seule option viable pour éradiquer le mécanisme de persistance des acteurs malveillants de l’appliance. » Ce processus supprime entièrement la persistance établie des pirates. Cisco Talos, l’équipe de recherche en matière de renseignements sur les menaces de l’entreprise, a détaillé l’opération dans un article de blog. Le message attribue les pirates à la Chine et les relie à d’autres groupes de hackers connus du gouvernement chinois. Les chercheurs de Talos ont documenté comment les acteurs exploitent la vulnérabilité du jour zéro pour installer des portes dérobées persistantes. Les preuves montrent que la campagne est active depuis au moins fin novembre 2025. Le billet de blog décrit les méthodes techniques utilisées pour l’accès initial et la persistance ultérieure sur les appareils compromis.
