Après l’exploitation d’un bug grave dans AsyncOS pendant des semaines, Cisco publie une mise à jour.
Après des semaines d’exploitation active, Cisco a finalement publié un correctif pour une vulnérabilité très critique dans AsyncOS. L’erreur, CVE-2025-20393, a été divulguée pour la première fois le 17 décembre 2025 et a un score CVSS de 10.0. Cela signifie qu’elle présente un risque extrêmement critique.
Quelle était la vulnérabilité ?
La faille affectait les appareils Secure Email Gateway (SEG) et Secure Email and Web Manager (SEWM) de Cisco qui fonctionnent sous AsyncOS. Dans un avis de sécurité, Cisco indique que des personnes malveillantes exécutent des commandes système sur l’appareil affecté en raison d’une erreur dans le traitement des requêtes HTTP dans la fonction de mise en quarantaine du spam.
Correctif et recommandations
Cisco a maintenant publié des mises à jour logicielles qui corrigent la vulnérabilité et suppriment tous les fichiers qui ont été installés lors des attaques. L’entreprise recommande vivement à ses clients d’installer ces mises à jour dès que possible, conformément aux directives partagées.
Il n’existe pas de solutions générales. La seule mesure efficace est d’appliquer les versions AsyncOS corrigées. Si un appareil a déjà été compromis, il peut être judicieux de restaurer complètement le système avec l’assistance de Cisco afin de supprimer les portes dérobées en toute sécurité.