CVE-2025-20393 : Zero-day critique sur Cisco AsyncOS exploité par un APT chinois
Analyse technique de la vulnérabilité CVE-2025-20393 (CVSS 10.0) sur Cisco AsyncOS, exploitée par l'APT chinois UAT-9686. IOCs, détection et remédiation.
La vulnérabilité CVE-2025-20393 représente une faille d’exécution de code à distance (RCE) de sévérité maximale CVSS 10.0 affectant les appliances Cisco Secure Email Gateway et Email/Web Manager. Exploitée activement depuis fin novembre 2025 par le groupe APT chinois UAT-9686, cette vulnérabilité permet à un attaquant non authentifié d’exécuter des commandes arbitraires avec des privilèges root. Aucun correctif n’est disponible — la seule remédiation en cas de compromission est la reconstruction complète des appliances. CISA a fixé une date limite de remédiation au 24 décembre 2025 pour les agences fédérales américaines.
Analyse technique de la vulnérabilité
CVE-2025-20393 est une vulnérabilité de validation d’entrée incorrecte (CWE-20) dans l’interface web Spam Quarantine de Cisco AsyncOS. L’exploitation permet l’exécution de commandes avec privilèges root sur le système d’exploitation sous-jacent via des requêtes HTTP POST spécialement conçues.
| Composante CVSS 3.1 | Valeur | Signification |
|---|---|---|
| Vecteur d’attaque (AV) | Network | Exploitable à distance |
| Complexité (AC) | Low | Aucune condition particulière requise |
| Privilèges requis (PR) | None | Attaque non authentifiée |
| Interaction utilisateur (UI) | None | Aucune action utilisateur requise |
| Portée (S) | Changed | Impact au-delà du composant vulnérable |
| Confidentialité/Intégrité/Disponibilité | High/High/High | Compromission totale |
Vecteur CVSS complet : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
L’exploitation nécessite deux conditions préalables : la fonctionnalité Spam Quarantine doit être activée (non activée par défaut) et l’interface doit être exposée sur Internet (ports 80, 82, 83, 6025). Les produits affectés incluent tous les modèles physiques et virtuels de Cisco Secure Email Gateway (C100v, C300v, C600v), Secure Email and Web Manager (M100v, M300v, M600v, M170), ainsi que toutes les versions d’AsyncOS jusqu’à la version 16.0.3-044. Cisco Secure Email Cloud n’est pas affecté.
Profil du groupe APT UAT-9686
UAT-9686 est un groupe APT à nexus chinois identifié par Cisco Talos le 17 décembre 2025 avec un niveau de confiance modéré dans l’attribution. Le groupe présente des chevauchements significatifs d’outils et de tactiques avec APT41 et UNC5174, deux acteurs connus sponsorisés par l’État chinois.
Les indicateurs d’attribution incluent l’utilisation d’AquaTunnel (variante de ReverseSSH précédemment associée à APT41), des techniques de web shells personnalisés caractéristiques des APT chinois, et des chevauchements d’infrastructure avec des campagnes antérieures ciblant Cisco ASA et Citrix NetScaler. Selon le chercheur Kevin Beaumont, les adresses IP d’attaque pourraient lier UAT-9686 à un groupe ayant précédemment installé des backdoors persistants sur des équipements Cisco ASA.
La campagne cible principalement les agences gouvernementales, le secteur de la défense, les infrastructures critiques et les grandes entreprises multinationales. L’objectif apparent est le cyberespionnage à long terme via l’accès aux communications email sensibles.
Chronologie de la campagne d’exploitation
| Date | Événement |
|---|---|
| Fin novembre 2025 | Début de l’exploitation active par UAT-9686 |
| 10 décembre 2025 | Cisco découvre la campagne via un cas de support TAC |
| 11 décembre 2025 | Détection d’une campagne coordonnée de brute-force VPN |
| 17 décembre 2025 | Publication de l’avis Cisco (cisco-sa-sma-attack-N9bf4) et divulgation de CVE-2025-20393 |
| 17 décembre 2025 | CISA ajoute la CVE au catalogue KEV |
| 17 décembre 2025 | Alertes du BSI allemand et du CCCS canadien |
| 24 décembre 2025 | Date limite CISA pour les agences FCEB |
Censys a identifié 220 instances Cisco ESA exposées sur Internet globalement, bien que seul un sous-ensemble avec Spam Quarantine activé et exposé soit vulnérable.
Arsenal malveillant déployé : la famille “Aqua”
Le groupe UAT-9686 déploie une suite d’outils personnalisés et open-source pour maintenir l’accès persistant et éviter la détection.
AquaShell est un backdoor Python léger embarqué dans le fichier existant /data/web/euq_webui/htdocs/index.py. Il écoute passivement les requêtes HTTP POST non authentifiées, décode les commandes via un algorithme personnalisé combiné à Base64, puis les exécute avec privilèges root. Cette technique d’injection dans un fichier légitime évite la détection basée sur les fichiers.
AquaTunnel est un binaire ELF Go basé sur l’outil open-source ReverseSSH. Il établit une connexion SSH inverse vers l’infrastructure C2 des attaquants, permettant un accès distant persistant à travers les pare-feu qui bloquent les connexions entrantes. Ce même outil a été observé dans des campagnes d’APT41 et UNC5174.
AquaPurge est un utilitaire de nettoyage de logs qui supprime sélectivement les lignes contenant des mots-clés spécifiques des fichiers de journalisation, compliquant l’analyse forensique. Des logs incomplets ou manquants constituent un indicateur de compromission.
Chisel est un outil de tunneling TCP/UDP sur HTTP open-source utilisé pour pivoter vers les réseaux internes depuis l’appliance email compromise.
Note importante : Contrairement à ce qui était suggéré dans la requête initiale, XMRIG n’a pas été documenté dans cette campagne. L’objectif d’UAT-9686 est le cyberespionnage, non le cryptominage.
Indicateurs de compromission (IOCs)
Adresses IP C2
| IP | Contexte |
|---|---|
172.233.67.176 | Infrastructure C2 |
172.237.29.147 | Infrastructure C2 |
38.54.56.95 | Infrastructure C2 |
Hashes de fichiers malveillants (SHA256)
| Outil | Hash SHA256 |
|---|---|
| AquaTunnel | 2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef |
| AquaPurge | 145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca |
| Chisel | 85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc |
| Chisel (variante) | b84450974bd3f1fc5dc09ec0edeec50647df81716e305ef391c9115c751aab17 |
Le hash d’AquaShell n’est pas publié car le backdoor est intégré dans des fichiers existants et peut varier selon les victimes.
Chemin de fichier critique
/data/web/euq_webui/htdocs/index.py (point d'injection AquaShell)Règle YARA pour Chisel
rule chisel_linux {
meta:
author = "David Burkett @ Corelight"
description = "Detects jpillora/chisel client/server"
creation_date = "2025-12-18"
TLP = "Clear"
strings:
$chisel_string = "github.com/jpillora/chisel"
condition:
uint16(0) == 0x457f and chisel_string and filesize < 12 MB
}Règle Suricata pour tunneling Chisel
alert http $EXTERNAL_NET any -> $HOME_NET any (
msg:"ET INFO Chisel SOCKS Proxy Startup Observed";
flow:established,to_client; http.stat_code; content:"101";
file.data; content:"SSH-chisel-v3-server"; offset:2; fast_pattern;
classtype:policy-violation; sid:2033342; rev:2;
)Requêtes SIEM pour la détection
Splunk — Détection des IPs C2
index=* (dest_ip="172.233.67.176" OR dest_ip="172.237.29.147" OR dest_ip="38.54.56.95"
OR src_ip="172.233.67.176" OR src_ip="172.237.29.147" OR src_ip="38.54.56.95")
| stats count by src_ip, dest_ip, dest_port, actionSplunk — Détection de requêtes HTTP POST suspectes
index=* sourcetype=*cisco* OR sourcetype=*web*
| where method="POST" AND (uri LIKE "%euq_webui%" OR uri LIKE "%htdocs/index.py%")
| stats count by src_ip, uri, statusElasticsearch — Chasse aux IOCs
{
"query": {
"bool": {
"should": [
{"term": {"destination.ip": "172.233.67.176"}},
{"term": {"destination.ip": "172.237.29.147"}},
{"term": {"destination.ip": "38.54.56.95"}}
]
}
}
}Mesures de remédiation et isolation
Actions immédiates P0 pour les équipes SOC
- Vérifier l’exposition : Naviguer vers Network > IP Interfaces et vérifier si Spam Quarantine est activé
- Bloquer le port 6025 depuis Internet immédiatement
- Bloquer les interfaces de gestion (ports 80, 443) depuis les réseaux non fiables
- Contacter Cisco TAC si l’exposition est confirmée
Configuration ACL recommandée
# Bloquer l'accès Spam Quarantine depuis Internet
deny tcp any [APPLIANCE_IP] eq 6025
# Bloquer l'interface de gestion web depuis Internet
deny tcp any [APPLIANCE_IP] eq 443
deny tcp any [APPLIANCE_IP] eq 80
# Autoriser uniquement les réseaux de gestion de confiance
permit tcp [TRUSTED_MGMT_NET] [APPLIANCE_IP] eq 443Contrôles compensatoires en l’absence de patch
- Placer les appliances derrière un pare-feu à deux couches avec DMZ
- Séparer les interfaces de traitement du courrier et de gestion
- Désactiver HTTP pour le portail d’administration principal
- Implémenter l’authentification SAML ou LDAP
- Exporter les logs vers un serveur externe (les attaquants effacent les logs locaux)
- Changer tous les mots de passe administrateur par défaut
En cas de compromission confirmée
La reconstruction de l’appliance est la SEULE option viable pour éliminer la persistance d’AquaShell. Une simple restauration de configuration ne supprime pas le backdoor.
Alertes officielles et statut des correctifs
| Autorité | Statut |
|---|---|
| CISA KEV | Ajouté le 17 décembre 2025 — Deadline 24 décembre 2025 |
| Cisco Advisory | cisco-sa-sma-attack-N9bf4 — Bug ID CSCws36549 |
| BSI (Allemagne) | Alerte d’urgence publiée le 17 décembre 2025 |
| CCCS (Canada) | Alerte d’urgence publiée le 17 décembre 2025 |
| CERT-FR / ANSSI | Pas d’avis spécifique identifié à ce jour |
| Patch Cisco | NON DISPONIBLE — Investigation en cours |
Cisco indique qu’aucun workaround ne corrige directement la vulnérabilité. Les recommandations actuelles visent à réduire l’exposition et à détecter les compromissions.
Conclusion et enseignements
CVE-2025-20393 illustre une tendance croissante des APT sophistiqués à cibler les équipements de sécurité périmétriques — passerelles email, VPN, pare-feu — qui sont difficiles à surveiller avec les outils EDR traditionnels et offrent un accès privilégié aux communications sensibles. L’absence de patch et la complexité de la remédiation (reconstruction obligatoire) rendent cette menace particulièrement sévère.
Les organisations utilisant Cisco Secure Email Gateway ou Email and Web Manager doivent immédiatement vérifier leur exposition, implémenter les contrôles compensatoires, et établir une surveillance renforcée des IOCs publiés. La campagne UAT-9686 démontre que les groupes APT chinois continuent d’investir dans le développement d’outils personnalisés (famille “Aqua”) avec des capacités anti-forensiques avancées, ciblant stratégiquement l’infrastructure de communication des organisations d’intérêt.
Ressources clés :
- Cisco Talos IOC Repository
- Cisco Advisory
- CISA KEV
- AlienVault OTX — Pulse “UAT-9686 actively targets Cisco Secure Email Gateway”