Cisco a confirmé que des pirates informatiques parrainés par l’État chinois exploitent activement une vulnérabilité critique et non corrigée dans ses produits de sécurité largement utilisés. La faille affecte Cisco Secure Email Gateway, Cisco Secure Email et les appliances Web Manager, permettant potentiellement aux attaquants un contrôle total sur les appareils compromis.
Détails de la vulnérabilité critique
La vulnérabilité réside dans la fonctionnalité « Spam Quarantine » du logiciel Cisco AsyncOS. Bien qu’elles ne soient pas activées par défaut, les instances exposées accessibles depuis Internet courent un risque immédiat. Cisco a découvert la campagne d’exploitation le 10 décembre, mais aucun correctif immédiat n’est disponible, laissant les organisations se démener pour trouver des stratégies d’atténuation.
La recommandation actuelle de l’entreprise est extrême : reconstruction complète des appareils concernés. En effet, les attaquants ont probablement déjà établi des portes dérobées persistantes qui ne peuvent pas être supprimées via des correctifs conventionnels.
Pourquoi c’est important
Il s’agit d’une menace de haute gravité pour plusieurs raisons :
- Déploiement à grande échelle : les produits de sécurité de messagerie de Cisco sont largement utilisés par les grandes organisations, ce qui rend la surface d’attaque potentielle importante.
- Acteurs parrainés par l’État : Cisco Talos, la branche de renseignement sur les menaces de l’entreprise, relie la campagne à des groupes de piratage soutenus par le gouvernement chinois. Cela suggère un effort ciblé plutôt qu’un crime opportuniste.
- Zero-Day Exploit : L’absence de correctif signifie que même les organisations ayant de solides pratiques de sécurité sont vulnérables jusqu’à ce que la faille soit corrigée.
Options d’atténuation limitées
Bien que la fonctionnalité Spam Quarantine ne soit pas activée par défaut et n’ait pas besoin d’être exposée à Internet, Cisco admet que les systèmes concernés sont déjà compromis.
Des chercheurs en sécurité comme Michael Taggart de UCLA Health Sciences notent que la surface d’attaque est quelque peu limitée par la nécessité d’une interface de gestion accessible sur Internet. Cependant, Kevin Beaumont, chercheur respecté en cybersécurité, prévient que le manque de correctifs et le potentiel de persistance à long terme en font une campagne particulièrement dangereuse.
Réponse de Cisco
Cisco n’a pas encore divulgué le nombre de clients concernés. Lorsqu’on lui a demandé des détails, un porte-parole de l’entreprise a refusé de répondre aux questions et a déclaré à la place qu’il « enquêtait activement » et « développait une mesure corrective permanente ».
Il s’agit d’une situation en évolution qui exige une attention immédiate de la part des clients Cisco. L’absence de correctif impose des mesures drastiques : la reconstruction des systèmes compromis est la seule solution viable pour le moment.
Le fait que des pirates informatiques parrainés par l’État chinois soient à l’origine de cette campagne suggère que les infrastructures critiques et les données sensibles sont en danger. Les organisations doivent agir rapidement pour évaluer leur exposition et mettre en œuvre les mesures d’atténuation recommandées.
