Exploitation de CVE-2025-20393 : Une Vulnérabilité Zero-Day de Gravité Maximale dans le Logiciel Cisco AsyncOS Exploitée dans des Attaques par le Groupe APT UAT-9686 Soutenu par la Chine

Alors que l’année 2025 s’achève, une autre vulnérabilité critique de Cisco zero-day a émergé, rejoignant les divulgations antérieures de grande gravité : deux failles RCE dans Cisco ISE et SE-PIC (CVE-2025-20281 et CVE-2025-20282) et une zero-day de septembre dans Cisco IOS et IOS XE (CVE-2025-20352). La dernière vulnérabilité découverte Cisco identifiée comme CVE-2025-20393, affecte le logiciel AsyncOS et atteint un score CVSS de sévérité maximale de 10,0. La faille est déjà activement exploitée par un groupe APT lié à la Chine, suivi sous le nom de UAT-9686.  

L’exploitation des vulnérabilités zero-day augmente, tandis que le temps pour les corriger diminue, rendant les mises à jour rapides plus cruciales que jamais. Le rapport DBIR de Verizon 2025 souligne une augmentation de 34 % d’une année sur l’autre des violations initiées via l’exploitation de vulnérabilités, soulignant le besoin de défenses proactives. Les campagnes d’espionnage soutenues par la Chine alimentent cette tendance, avec des opérations mettant de plus en plus l’accent sur la discrétion et la sécurité opérationnelle au cours des cinq dernières années. Les groupes APT alignés avec la Chine restent parmi les acteurs les plus rapides et les plus actifs sponsorisés par l’État, utilisant souvent les exploits nouvellement divulgués presque immédiatement, compliquant encore davantage le paysage mondial de la cybersécurité.

Début décembre, une nouvelle vulnérabilité de sévérité maximale dans React Server Components, connue sous le nom de React2Shell, a été observée comme exploitée dans plusieurs campagnes liées à la Chine, avec une activité s’accélérant rapidement en termes d’échelle et de rythme et élargissant son champ de ciblage. Une autre vulnérabilité de sévérité maximale (CVE-2025-20393), récemment découverte dans Cisco AsyncOS Software, suscite l’agitation dans le domaine des menaces cybernétiques, nécessitant une ultra-vigilance des défenseurs. 

Inscrivez-vous à la plateforme SOC Prime, offrant le plus grand ensemble de données de détection d’Intelligence au monde et couvrant un pipeline complet de la détection à la simulation pour amener votre SOC au niveau supérieur et contrecarrer de manière proactive les attaques APT, les campagnes d’exploitation et les menaces cybernétiques de toute envergure et sophistication. Appuyez sur Explore Detections pour obtenir un ensemble complet de règles enrichies de contexte abordant les exploits critiques, filtré par le tag « CVE » correspondant.

Explore Detections

Le contenu SOC mentionné ci-dessus est pris en charge sur plus de 40 plateformes SIEM, EDR et Data Lake pour permettre une utilisation de contenu multi-plateformes et est mappé au cadre MITRE ATT&CK® v18.1. Les équipes de sécurité peuvent encore accélérer les flux de travail d’ingénierie de détection de bout en bout avec Uncoder AI, qui permet une création de règles fluide à partir de l’intelligence des menaces en direct, un raffinement et une validation instantanés de la logique de détection, une visualisation automatique des flux d’attaques, la conversion de requêtes IOC pour la chasse, et la traduction assistée par IA du contenu de détection à travers plusieurs formats linguistiques.

Analyse de CVE-2025-20393

Cisco a récemment averti la communauté mondiale des défenseurs d’une vulnérabilité critique zero-day dans son logiciel AsyncOS suivie sous CVE-2025-20393 qui est activement exploitée par un groupe APT lié à la Chine, UAT-9686, ciblant Cisco Secure Email Gateway et Cisco Secure Email and Web Manager.

La société a déclaré avoir pris connaissance de la campagne le 10 décembre 2025, en notant que seul un sous-ensemble limité d’appareils avec certains ports exposés à l’internet semble être affecté. Le nombre total de clients impactés reste incertain.

Selon le fournisseur, la faille permet aux acteurs malveillants d’exécuter des commandes arbitraires avec des privilèges root sur les appareils affectés. Les enquêteurs ont également trouvé des preuves d’un mécanisme de persistance placé pour maintenir le contrôle sur les appareils compromis.

La vulnérabilité reste non corrigée et provient d’une validation d’entrée incorrecte, permettant aux attaquants d’exécuter des commandes malveillantes avec des privilèges élevés sur le système d’exploitation sous-jacent.

Toutes les versions de Cisco AsyncOS sont impactées, bien que l’exploitation nécessite des conditions spécifiques à travers les déploiements physiques et virtuels de Cisco Secure Email Gateway et Cisco Secure Email and Web Manager. La fonctionnalité Spam Quarantine doit être activée et accessible depuis l’internet – un détail important, car cette fonctionnalité est désactivée par défaut. Cisco conseille aux administrateurs de vérifier son statut via l’interface de gestion web en contrôlant les paramètres de l’interface réseau pertinente.

Le fournisseur a retracé l’activité d’exploitation au moins jusqu’à la fin novembre 2025, lorsque l’acteur lié à la Chine UAT-9686 a commencé à abuser de la faille pour déployer des outils de tunneling comme ReverseSSH (AquaTunnel) et Chisel, ainsi qu’un utilitaire de nettoyage de logs nommé AquaPurge. AquaTunnel a déjà été associé à divers groupes chinois, y compris APT41 et UNC5174. Les adversaires ont également déployé une porte dérobée légère Python, AquaShell, qui écoute passivement les requêtes HTTP POST non authentifiées, décode des payloads spécialement conçus et exécute des commandes via le shell du système.

Jusqu’à ce qu’un correctif soit disponible, Cisco recommande de durcir les appareils affectés en restreignant l’exposition à l’internet, en les plaçant derrière des pare-feux qui n’autorisent que les hôtes de confiance, en séparant les interfaces de messagerie et de gestion, en désactivant l’accès HTTP au portail d’administration principal, et en surveillant de près les logs web pour détecter des activités anormales. D’autres conseils incluent la désactivation des services inutiles, l’application de mécanismes d’authentification forts tels que SAML ou LDAP, et le remplacement des identifiants administrateur par défaut par des mots de passe plus solides. La société a souligné que dans les scénarios compromis confirmés, la reconstruction de l’appareil est actuellement le seul moyen efficace de supprimer la persistance des attaquants.

En réponse à la menace croissante, la CISA a ajouté CVE-2025-20393 à son catalogue KEV, exigeant que les agences de la Branche Exécutive Civile Fédérale mettent en œuvre des mesures d’atténuation d’ici le 24 décembre 2025.

De plus, GreyNoise a rapporté avoir détecté une campagne coordonnée et automatisée de bourrage d’identifiants ciblant l’infrastructure VPN d’entreprise, y compris les portails VPN SSL de Cisco et GlobalProtect de Palo Alto Networks. L’activité implique des tentatives de connexion scriptées à grande échelle plutôt que l’exploitation de vulnérabilités, avec une infrastructure et un timing constants suggérant une seule campagne pivotant à travers plusieurs plateformes VPN.

L’exploitation rapide de CVE-2025-20393 et son utilisation active par un groupe de hackers soutenu par la Chine suggèrent un risque croissant d’attaques ultérieures contre les organisations du monde entier. Pour minimiser les risques de tentatives d’exploitation, fiez-vous à la Plateforme d’Intelligence de Détection Nativement AI de SOC Prime, qui équipe les équipes SOC de technologies de pointe et de l’expertise en cybersécurité nécessaire pour devancer les menaces émergentes tout en maintenant l’efficacité opérationnelle.