Un groupe de piratage parrainé par l’État chinois exploite une vulnérabilité jusqu’alors inconnue – une faille « jour zéro » – dans plusieurs produits Cisco populaires, mettant ainsi en danger des centaines d’entreprises clientes. La campagne, active depuis au moins fin novembre 2025, cible les systèmes dotés de la fonction de quarantaine du spam activée et accessibles depuis Internet.
La vulnérabilité et les produits concernés
La vulnérabilité, officiellement identifiée comme CVE-2025-20393, existe dans Secure Email Gateway et Secure Email and Web Manager de Cisco. Contrairement à de nombreux exploits, celui-ci a été découvert avant que Cisco puisse publier un correctif, laissant aux entreprises des options immédiates limitées.
Exploitation limitée et ciblée
Bien que Cisco n’ait pas divulgué le nombre exact de systèmes compromis, des chercheurs indépendants estiment que l’exposition se chiffre « en centaines plutôt qu’en milliers ». Les attaques semblent très ciblées plutôt que généralisées, ce qui suggère qu’elles se concentrent sur des organisations spécifiques de grande valeur. Depuis cette semaine, des dizaines de systèmes concernés ont été identifiés en Inde, en Thaïlande et aux États-Unis.
Censys, une société de cybersécurité, a observé 220 passerelles de messagerie Cisco exposées à Internet et vulnérables à la faille.
Aucun correctif disponible : correction radicale requise
Le problème le plus critique est l’absence de correctif logiciel. Cisco conseille aux clients concernés d’effacer complètement et de reconstruire leurs appareils, seul moyen garanti d’éliminer la menace.
« En cas de compromission confirmée, la reconstruction des appliances est, à l’heure actuelle, la seule option viable pour éradiquer le mécanisme de persistance des acteurs malveillants de l’appliance »
Cette mesure drastique met en évidence la gravité de la violation. Les pirates ne se contentent pas de voler des données ; ils établissent un accès persistant, ce qui rend la restauration complète du système nécessaire pour garantir la sécurité.
Pourquoi c’est important
Les exploits Zero Day font partie des cybermenaces les plus dangereuses, car ils contournent les défenses standards. Les campagnes de piratage au niveau des États-nations, comme celle-ci, sont souvent motivées par l’espionnage, le vol de propriété intellectuelle ou la perturbation stratégique. Le fait que les attaques soient ciblées suggère que les clients Cisco de secteurs ou de régions géopolitiques spécifiques sont prioritaires.
L’incident souligne la nécessité d’une veille proactive sur les menaces, d’une réponse rapide aux vulnérabilités et de plans robustes de reprise après incident. Cela met également en évidence le risque croissant d’attaques sur la chaîne d’approvisionnement, où les vulnérabilités des logiciels largement utilisés deviennent des leviers pour des adversaires sophistiqués.
L’absence de correctif signifie que les organisations doivent recourir à des mesures extrêmes pour sécuriser leurs systèmes. Cette situation restera probablement volatile jusqu’à ce que Cisco développe et distribue un correctif.
