シスコ、未修正のAsyncOSゼロデイ脆弱性に関する警告
シスコは本日、最大深刻度の未修正Cisco AsyncOSゼロデイ脆弱性(CVE-2025-20393)が、Secure Email Gateway(SEG)およびSecure Email and Web Manager(SEWM)アプライアンスを標的とした攻撃で活発に悪用されていることを警告しました。
この脆弱性は、スパム隔離機能が有効化され、インターネットに公開されている非標準設定のCisco SEGおよびCisco SEWMアプライアンスにのみ影響します。
攻撃の詳細と影響範囲
シスコの脅威インテリジェンス研究チームであるTalosは、中国系の脅威グループUAT-9686がこの脆弱性を悪用し、ルート権限で任意のコマンドを実行しているとみています。攻撃者は、AquaShellという永続化バックドア、AquaTunnelおよびChiselというリバースSSHトンネルマルウェア、そしてログ消去ツールAquaPurgeを展開しています。
これらの攻撃で利用されたAquaTunnelなどの悪意のあるツールは、過去にUNC5174やAPT41といった他の中国系国家支援ハッキンググループとも関連付けられています。攻撃キャンペーンは少なくとも2025年11月下旬から活動しており、シスコがこれらの攻撃を最初に確認したのは12月10日でした。
シスコの推奨対策
シスコは、このゼロデイ脆弱性に対処するためのセキュリティアップデートをまだリリースしていませんが、管理者に対し、脆弱なアプライアンスへのアクセスを保護および制限するよう助言しています。推奨される対策は以下の通りです。
- インターネットアクセスを制限する。
- 接続を信頼できるホストのみに制限する。
- ファイアウォールの背後にアプライアンスを配置し、トラフィックをフィルタリングする。
- メール処理機能と管理機能を分離する。
- ウェブログを監視し、異常なアクティビティがないか確認する。
- 調査のためにログを保持する。
- 不要なサービスを無効化する。
- システムを最新のCisco AsyncOSソフトウェアにアップデートする。
- SAMLやLDAPなどの強力な認証方法を実装する。
- デフォルトパスワードを変更する。
- 管理トラフィックを保護するためにSSLまたはTLS証明書を使用する。
侵害の兆候を確認したい顧客は、Cisco Technical Assistance Center (TAC)に連絡するよう求められています。アプライアンスが侵害されたことが確認された場合、脅威アクターの永続化メカニズムを排除する唯一の実行可能なオプションは、アプライアンスの再構築であるとシスコは警告しています。
侵害の痕跡(IoC)はGitHubリポジトリで公開されています。
今後の対応
今回のゼロデイ脆弱性への対処は、迅速な情報収集と適切なセキュリティ対策の実施が不可欠です。組織は、シスコからの追加情報やパッチ提供を注視しつつ、上記推奨事項に基づいた対応を速やかに進める必要があります。