シスコ製品にゼロデイ脆弱性、緊急パッチ適用を

シスコは、同社のSecure Email GatewayおよびSecure Email and Web Managerアプライアンスを標的としたゼロデイ脆弱性が悪用され、活発なサイバー攻撃が進行中であることを確認しました。攻撃者は、これらのシステム上でルートレベルの権限を用いて任意のコマンドを実行しています。

攻撃の背景と脆弱性の詳細

この攻撃は2025年12月10日にシスコが把握し、永続的なバックドアが設置されている証拠が発見されました。脆弱性は「CVE-2025-20393」として追跡されており、CVSS基本スコアは10.0（Critical）と評価されています。影響を受ける製品はCisco Email GatewayおよびEmail & Web Managerです。

この脆弱性は、Cisco AsyncOSソフトウェアの「Spam Quarantine」機能におけるHTTPリクエストの検証不備に起因します。これにより、認証されていないリモート攻撃者が細工されたHTTPリクエストを送信し、システム上でルート権限での任意のコマンド実行を可能にします。

攻撃が成立するには以下の三つの条件が揃っている必要があります。

• 脆弱なAsyncOSソフトウェアバージョンが動作していること。
• Spam Quarantine機能が有効になっていること。
• Spam Quarantine機能がインターネットに直接公開されていること。

なお、Spam Quarantine機能はデフォルトでは有効になっておらず、シスコの展開ガイドでもインターネットへの公開は推奨されていません。

緊急対策と推奨事項

シスコは本脆弱性に対処するためのパッチ済みソフトウェアバージョンをリリースしており、影響を受ける顧客に対し、直ちにアップグレードするよう強く推奨しています。具体的な推奨バージョンは以下の通りです。

• Cisco Email Security Gateway: 15.0.5-016, 15.5.4-012, または 16.0.4-016
• Cisco Secure Email and Web Manager: 15.0.2-007, 15.5.4-007, または 16.0.4-010

本脆弱性に対する回避策は提供されておらず、パッチの適用が必須となります。また、組織はWeb管理インターフェースを介してSpam Quarantineのステータスを確認し、アプライアンスへのアクセスをファイアウォールの背後に制限し、既知の信頼できるホストへの接続のみに限定することも検討すべきです。これにより、脆弱性の悪用を防ぎ、すでに設置された永続メカニズムを排除できるとのことです。

元記事: https://gbhackers.com/cisco-secure-email-gateway-zero-day-rce/