シスコ製品のゼロデイ脆弱性が悪用される
米国のネットワーク機器大手シスコは12月17日、同社製品に存在する致命的なゼロデイ脆弱性が、中国系ハッカーによって積極的に悪用されていることを明らかにしました。この脆弱性は、影響を受けるデバイスの完全な乗っ取りを可能にするもので、現時点ではパッチが提供されていません。
標的となった製品と攻撃の条件
今回標的となっているのは、シスコのAsyncOSソフトウェアを搭載した物理および仮想アプライアンス、具体的にはCisco Secure Email Gateway、Cisco Secure Email、およびWeb Managerです。シスコによると、この脆弱性の悪用は、デバイスで「Spam Quarantine」機能が有効になっており、かつインターネットからアクセス可能な状態にある場合に限定されます。同社は、この機能がデフォルトで有効になっておらず、インターネットに公開する必要もない点を指摘しています。
深刻な影響とシスコの対応策
セキュリティ研究者のケビン・ボーモント氏は、多数の大規模組織で利用されている製品が影響を受けており、パッチがないこと、そしてハッカーがシステムにバックドアを設置していた期間が不明であることから、この攻撃キャンペーンが「特に問題がある」と述べています。シスコのタロス脅威インテリジェンス研究チームによると、ハッカーはこのゼロデイ脆弱性を利用して永続的なバックドアをインストールしており、キャンペーンは2025年11月下旬には開始されていたと見られています。
現在のところ、シスコが顧客に推奨する解決策は、影響を受けた製品のソフトウェアを「ワイプして再構築する」ことです。同社は、「侵害が確認された場合、脅威アクターの永続的なメカニズムをアプライアンスから根絶するための唯一の実行可能な選択肢は、アプライアンスを再構築することだ」と述べています。
中国政府系ハッカーとの関連性
シスコ・タロスは、今回の攻撃キャンペーンに関与しているハッカーが中国および他の既知の中国政府系ハッキンググループと関連があると指摘しています。
今後の見通し
シスコの広報担当者はTechCrunchに対し、「シスコはこの問題を積極的に調査し、恒久的な修正策を開発中である」とコメントしています。パッチの提供が待たれる中、影響を受ける組織は、シスコの勧告に従い、速やかに対応を検討する必要があります。UCLA Health Sciencesのサイバーセキュリティ研究者マイケル・タガート氏は、インターネットに面した管理インターフェースと特定の機能が有効であるという要件が、この脆弱性の攻撃対象領域を制限するだろうと述べています。