Cisco a annoncé mercredi que des pirates exploitaient une vulnérabilité critique du jour zéro dans plusieurs de ses produits populaires, permettant ainsi la prise de contrôle complète des appareils concernés. Aucun correctif n’est actuellement disponible. La société a divulgué la campagne de piratage dans un avis de sécurité, déclarant avoir découvert l’activité le 10 décembre. Les attaques ciblent le logiciel Cisco AsyncOS utilisé dans les appareils physiques et virtuels, notamment Cisco Secure Email Gateway, Cisco Secure Email et Web Manager. Les appareils vulnérables ont la fonction « Spam Quarantine » activée et sont accessibles depuis Internet. Cisco a noté que cette fonctionnalité n’est pas activée par défaut et ne nécessite pas d’exposition Internet. Michael Taggart, chercheur principal en cybersécurité à l’UCLA Health Sciences, a déclaré à TechCrunch que « l’exigence d’une interface de gestion accessible sur Internet et l’activation de certaines fonctionnalités limiteront la surface d’attaque de cette vulnérabilité ». Kevin Beaumont, un chercheur en sécurité qui suit les campagnes de piratage, a décrit la situation à TechCrunch comme particulièrement problématique. Il a souligné que de nombreuses grandes organisations utilisent les produits concernés, qu’aucun correctif n’existe et que la durée des portes dérobées des pirates dans les systèmes compromis reste incertaine. Cisco n’a pas divulgué le nombre de clients concernés. La porte-parole de Cisco, Meredith Corley, a déclaré à TechCrunch que la société « étudie activement le problème et développe une solution permanente ». Elle n’a pas répondu aux questions supplémentaires. Dans l’avis, Cisco recommande d’effacer et de reconstruire les appareils concernés comme seule option actuelle pour supprimer les mécanismes de persistance des acteurs malveillants. L’avis indique : « En cas de compromission confirmée, la reconstruction des appliances est, actuellement, la seule option viable pour éradiquer le mécanisme de persistance des acteurs menaçants de l’appliance. » Cisco Talos, l’équipe de renseignement sur les menaces de l’entreprise, a lié les pirates à la Chine et à des groupes de piratage connus du gouvernement chinois dans un article de blog. Talos a signalé que les acteurs utilisent la vulnérabilité du jour zéro pour installer des portes dérobées persistantes. La campagne est active depuis au moins fin novembre 2025.
Source: Cisco annonce que des pirates informatiques exploitent le jour zéro d’AsyncOS
