Selon un article signé Zeljka Zorz relayant les analyses de Cisco Talos, une campagne active depuis fin novembre 2025 vise des appliances e‑mail Cisco au moyen d’une faille zero‑day non corrigée.

  • Les attaquants exploitent CVE‑2025‑20393 (mauvaise validation des entrées) permettant une exécution de commandes en root sans authentification sur les OS des appliances affectées. Les cibles sont les Cisco Secure Email Gateway (physiques/virtuelles) et Cisco Secure Email and Web Manager (physiques/virtuelles) lorsque la fonction Spam Quarantine est exposée à Internet. Cisco a découvert l’activité le 10 décembre via un cas TAC et note que les configurations non standard sont celles observées comme compromises. 🚨

  • Outils observés sur les appliances compromises : AquaShell (backdoor Python sur mesure), AquaPurge (suppression de lignes précises dans les logs), AquaTunnel (backdoor SSH inversée basée sur un outil open source) et Chisel (tunnel/proxy open source). Cisco Talos a partagé des adresses IP d’attaque et des hashes de certains outils (pas d’empreinte pour AquaShell). 🛠️

  • L’ampleur des compromissions est inconnue. Cisco rappelle que Spam Quarantine n’est pas activé par défaut et que les guides de déploiement n’exigent pas d’exposer le port associé sur Internet. Un correctif pour CVE‑2025‑20393 est attendu prochainement, l’enquête se poursuit. 🕳️

  • Mesures évoquées: vérifier si Spam Quarantine est activé/configuré; si l’interface de management web ou le port Spam Quarantine sont exposés à Internet, Cisco recommande un processus en plusieurs étapes pour restaurer une configuration sécurisée. Si ce n’est pas possible, contacter le Cisco TAC pour une vérification à distance. En cas de compromission confirmée, reconstruire l’appliance est actuellement la seule option pour éliminer la persistance. 🔁

  • Attribution: Cisco Talos attribue avec confiance modérée l’activité à un acteur nexus chinois « UAT‑9686 », avec recoupements de TTPs, d’infrastructures et de victimologie avec des groupes tels que APT41 et UNC5174. Le ReverseSSH/AquaTunnel s’aligne avec des usages connus de ces APTs. Le chercheur Kevin Beaumont note que les IPs d’attaque publiées évoquent un APT chinois ayant déjà ciblé des Cisco ASA (backdoor persistante, désactivation des logs et des crash dumps) et des Citrix NetScaler ADC via CVE‑2025‑5777 et CVE‑2025‑7775.

IoCs et TTPs clés:

  • IoCs (partagés par Cisco Talos, non détaillés ici): adresses IP d’attaque, hashes de certains outils (pas d’empreinte pour AquaShell)
  • Vulnérabilités: CVE‑2025‑20393 (RCE non authentifiée), historiques liés: CVE‑2025‑5777, CVE‑2025‑7775 (NetScaler)
  • TTPs: exploitation d’une RCE sans auth, persistance via backdoor Python (AquaShell), tunnel SSH inversé (AquaTunnel/ReverseSSH), proxying via Chisel, suppression/altération de logs (AquaPurge), exposition de ports non nécessaires (Spam Quarantine).

Type d’article: article de presse spécialisé synthétisant une alerte technique et les premiers éléments d’attribution.

🔗 Source originale : https://www.helpnetsecurity.com/2025/12/17/cisco-secure-email-cve-2025-20393/