Cisco

Cisco confirme l’exploitation Zero Day des produits Secure Email

Lucas Morel

La faille non corrigée affecte les appliances de messagerie sécurisée basées sur AsyncOS, Cisco en étudiant la portée et exhortant à les reconstruire dans les cas de compromission confirmés.

Cisco a averti qu’un groupe de pirates informatiques lié à la Chine exploitait activement une vulnérabilité jusqu’alors inconnue de ses appliances Secure Email pour obtenir un accès persistant, obligeant les organisations concernées à envisager des reconstructions perturbatrices de l’infrastructure de sécurité critique pendant que les correctifs restent indisponibles.

Cisco Talos a déclaré que la campagne était active depuis au moins fin novembre, suscitant des inquiétudes chez les responsables de la sécurité concernant des compromissions invisibles et la mesure dans laquelle les efforts de réponse aux incidents pourraient devoir s’étendre au-delà des appareils concernés.

( En rapport: Plus d’actualités et d’informations sur Cisco )

La vulnérabilité affecte les appareils Cisco Secure Email Gateway, Cisco Secure Email et Web Manager exécutant AsyncOS, mais uniquement dans les configurations où la fonctionnalité Spam Quarantine est activée et exposée à Internet, selon Cisco.

La société a déclaré qu’aucun correctif n’était actuellement disponible et que la reconstruction des appareils concernés était le seul moyen de supprimer complètement les mécanismes de persistance des attaquants dans les cas de compromission confirmés.

Exposition de l’entreprise et étendue des risques

Cisco a déclaré que les systèmes sur lesquels la fonctionnalité Spam Quarantine n’est pas activée ne seraient pas affectés, mais les analystes ont déclaré que cela ne réduisait pas nécessairement les risques pour l’entreprise.

« Cette vulnérabilité peut rester un problème à haut risque car les appareils concernés se trouvent généralement dans des positions réseau privilégiées, même si la fonctionnalité n’est pas activée par défaut », a déclaré Sunil Varkey, analyste en cybersécurité.

On ne sait pas non plus combien d’entreprises ont pu activer cette fonctionnalité dans des environnements de production, a déclaré Keith Prabhu, fondateur et PDG de Confidis.

« Spam Quarantine offre aux administrateurs un moyen d’examiner et de publier des « faux positifs », c’est-à-dire des messages électroniques légitimes que l’appliance a considérés comme du spam », a déclaré Prabhu. « Dans le contexte actuel de l’assistance à distance et des opérations 24h/24 et 7j/7, il est tout à fait possible que cette fonctionnalité ait été activée par de nombreuses entreprises. »

Akshat Tyagi, responsable associé de la pratique chez HFS Research, a déclaré que la plus grande préoccupation concerne la nature de la cible. Contrairement à l’ordinateur portable d’un utilisateur ou à un serveur autonome, les systèmes de sécurité de la messagerie sont au cœur de la manière dont les organisations filtrent et font confiance au trafic de messagerie, ce qui signifie que les attaquants opèreraient au sein d’une infrastructure conçue pour arrêter les menaces plutôt que de les recevoir.

« Le fait qu’il n’y ait pas encore de correctif augmente encore le risque », a déclaré Tyagi. « Lorsque les conseils du fournisseur consistent à reconstruire les appareils plutôt qu’à les nettoyer sur place, cela vous indique qu’il s’agit d’une question de persistance et de contrôle, et pas seulement d’un exploit ponctuel. »

Varkey a ajouté que l’exploitation peut ne pas nécessiter une exposition directe à Internet et pourrait également se produire à partir de réseaux internes ou accessibles par VPN, conseillant aux organisations de fermer ou de restreindre temporairement l’accès aux ports de gestion concernés.

Reconstruire les conseils et les compromis opérationnels

Cisco a déclaré que l’effacement et la reconstruction des appareils sont actuellement nécessaires dans les cas où une compromission a été confirmée.

« Du point de vue de la sécurité, c’est en effet la bonne décision », a déclaré Tyagi. « Lorsqu’il existe un risque que les attaquants se soient intégrés profondément dans un système, l’application de correctifs à elle seule ne résoudra pas le problème. La reconstruction est le seul moyen d’être sûr que la menace est entièrement supprimée. »

Mais Varkey a déclaré que cela pourrait ne pas être une option viable pour de nombreuses organisations, car cela introduit des risques commerciaux, notamment des temps d’arrêt, une mauvaise configuration et la réintroduction potentielle de la persistance via des sauvegardes contaminées.

Les entreprises devront équilibrer la rapidité des mesures correctives et la continuité des activités tout en s’appuyant sur des contrôles compensatoires pour limiter l’exposition. « Cisco Secure Email Gateway, Cisco Secure Email et Web Manager sont des composants essentiels de l’infrastructure de messagerie », a déclaré Prabhu. « Les organisations devraient planifier cette activité de manière à minimiser les temps d’arrêt, mais en même temps à réduire la fenêtre de temps de compromission. En attendant, elles pourraient utiliser d’autres mesures de sécurité comme le blocage des ports sur le pare-feu pour limiter l’exposition. »

Plus d’actualités Cisco :

  • Cisco définit un cadre de sécurité de l’IA pour la protection des entreprises
  • L’initiative Cisco cible la sécurité des appareils
  • Points clés à retenir du Cisco Partner Summit
  • La demande de réseaux d’IA a alimenté les résultats financiers optimistes de Cisco au premier trimestre
  • Cisco lance une infrastructure d’IA et des certifications de praticien de l’IA
  • Cisco centralise l’expérience client autour de l’IA
  • Cisco dévoile une plateforme de périphérie intégrée pour l’IA
Vulnérabilités du jour zéroVulnérabilitésSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway