Des pirates chinois sont à l’origine d’attaques contre le logiciel AsyncOS qui permettent de prendre le contrôle complet de l’appliance, affirme la société.
Mieux vaut tard que jamais. Cisco a corrigé cette semaine une faille « critique » de type « jour zéro » dans les passerelles de sécurité et de gestion du courrier électronique de l’entreprise, qui planait au-dessus de la tête des clients depuis décembre.
Suivie comme CVE-2025-20393, la vulnérabilité affecte le logiciel AsyncOS de Cisco exécuté sur les produits physiques ou virtuels Secure Email Gateway (SEG) et Secure Email and Web Manager (SEWM).
Le problème est grave, car il permet à un attaquant de s’emparer d’une appliance dotée de privilèges lorsque la fonctionnalité Spam Quarantine est activée et exposée à Internet. Cela lui a valu un score de gravité maximum CVSS relativement rare de 10, une note « critique ».
Cisco a déclaré dans son avis : « Cette vulnérabilité est due à une validation insuffisante des requêtes HTTP par la fonctionnalité Spam Quarantine. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP contrefaite au périphérique concerné. »
Malheureusement, la vulnérabilité, dont Cisco a déclaré avoir pris connaissance le 10 décembre lors de la résolution d’un problème de support client, était déjà exploitée de manière sauvage. Cela a incité la société à publier un avis – mais aucun correctif corrigeant la faille – une semaine plus tard, le 17 décembre.
Selon une analyse de la division de renseignement sur les menaces Talos de Cisco, publiée le même jour, des exploits ont été détectés remontant « au moins » à la fin novembre, ce qui signifie que le problème datait déjà de plusieurs semaines au moment où les clients en ont entendu parler, sans aucune solution temporaire possible.
« Talos estime avec une confiance modérée que cette activité est menée par un acteur menaçant lié à la Chine, que nous suivons sous le nom d’UAT-9686. Dans le cadre de cette activité, UAT-9686 déploie un mécanisme de persistance personnalisé que nous suivons sous le nom d' »AquaShell », accompagné d’outils supplémentaires destinés au tunneling inversé et à la purge des journaux », a déclaré Cisco Talos.
Cette semaine, plus d’un mois après le premier avertissement public et sept semaines après la détection des premiers exploits, Cisco a publié un correctif AsyncOS corrigeant la vulnérabilité.
Le retard est-il important ?
L’exploit n’affecte qu’un sous-ensemble de clients exécutant Secure Email Gateway ou Secure Email and Web Manager avec le service Spam Quarantine exposé sur un port public.
Selon Cisco, cette fonctionnalité n’est pas activée par défaut et, indique-t-il, « les guides de déploiement de ces produits n’exigent pas que cette fonctionnalité soit directement exposée à Internet ». Cela donne l’impression que les clients activant cette fonctionnalité seraient l’exception.
Bien que cela soit probablement vrai (exposer un service comme celui-ci via un port public va à l’encontre des meilleures pratiques), un cas d’utilisation référencé dans le guide de l’utilisateur de Cisco serait de permettre aux utilisateurs distants de vérifier eux-mêmes le spam mis en quarantaine. Il est bien entendu impossible de dire le nombre d’organisations utilisant ces produits qui l’ont permis pour cette raison.
Pour reprendre, Cisco a déclaré que les clients vulnérables sont ceux qui utilisent le logiciel Cisco AsyncOS avec Spam Quarantine activé, exposés et accessibles depuis Internet. Étant donné qu’aucune solution de contournement n’est possible, cela implique que la simple désactivation de l’accès via une interface publique (par défaut, le port 6025 ou 82/83 pour le portail Web) n’est pas suffisante à elle seule.
Cependant, même si c’était le cas, cela ignore la possibilité que des attaquants aient déjà exploité la vulnérabilité et gagné en persistance au cours des dernières semaines, le port ayant été fermé. La meilleure option est toujours d’appliquer un correctif pour supprimer tous les risques.
Conseils sur les correctifs
Passerelle de messagerie sécurisée Cisco (ESG) les clients utilisant la version 14.2 ou une version antérieure doivent passer à la version 15.0.5-016 ; La v15.0 devrait être mise à niveau vers la v15.0.5-016 ; La v15.5 devrait être mise à niveau vers la v15.5.4-012 ; et la v16.0 devrait être mise à niveau vers la v16.0.4-016.
Gestionnaire de messagerie et Web sécurisé (SEWM) les clients utilisant la version 15.0 ou une version antérieure doivent passer à la version 15.0.2-007 ; Les clients utilisant la version 15.5 doivent passer à la version 5.5.4-007 ; les clients sur la version 16.0 doivent passer à la version 16.0.4-010.
Cisco a déclaré que le correctif supprime également tous les mécanismes de persistance d’une attaque, mais, a-t-il déclaré, « les clients qui souhaitent vérifier explicitement si une appliance a été compromise peuvent ouvrir un dossier au centre d’assistance technique (TAC) de Cisco. »
