CISAが緊急指令を発令
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦政府機関に対し、Cisco製ネットワーク製品の複数の脆弱性に対するパッチを適用するよう緊急指令を出しました。これは、「高度な脅威アクター」がこれらの脆弱性を利用して「広範囲にわたる」攻撃キャンペーンを展開していることを受けての措置です。CISAは、この活動が「被害ネットワークに重大なリスクをもたらす」と警告しています。
「ArcaneDoor」作戦の拡大
このハッキングキャンペーンは、Ciscoが2024年4月に初めて明らかにした高度な「ArcaneDoor」作戦の延長線上にあります。複数の米連邦機関がすでに侵害されており、世界中で少なくとも10の組織が侵害されたと報じられています。ある米当局者は、このキャンペーンを「非常に洗練されている」と述べ、ハッカーのマルウェアは極めて複雑であると説明しています。CISAは、この活動について「深く懸念している」とし、機関が迅速に対応しなければ「深刻な事態になりかねない」と強調しています。
標的となったCiscoファイアウォール
今回標的となっているのは、Ciscoのファイアウォール製品であるAdaptive Security Appliance (ASA) デバイスと、ASAソフトウェアを実行しているFirepower Threat Defense (FTD) デバイスです。影響を受ける脆弱性は以下の3つです。
- CVE-2025-20333 (クリティカル)
- CVE-2025-20363 (クリティカル)
- CVE-2025-20362 (中程度の深刻度)
Ciscoは、攻撃者が複数のゼロデイ脆弱性を悪用し、高度な回避技術を使用していることを確認しています。特に懸念されるのは、デバイスの読み取り専用メモリに埋め込まれたソフトウェアプログラムを改ざんし、再起動やソフトウェアアップグレード後も永続性を維持する能力です。Ciscoは、顧客に対し、脆弱性を修正し、侵入者の足がかりを排除するために、新しいソフトウェアバージョンにデバイスをアップグレードするよう強く推奨しています。
CISAの緊急指令と対応期限
CISAは、連邦機関に対し、脆弱なデバイスの特定、分析、パッチ適用に関する強制的なタイムラインを設定しました。具体的な指示と期限は以下の通りです。
- 2025年9月26日(金)末まで: 脆弱なデバイスのフォレンジックイメージを提出。
- 2025年9月30日まで: サポートが終了するCisco ASAデバイスを恒久的に切断。
- 2025年9月26日(金)末まで: サポート対象デバイスを新しいファームウェアに更新。
- 2025年10月3日深夜まで: CISAに報告。
国際協力と脅威の性質
英国国家サイバーセキュリティセンター(NCSC)も、脆弱なデバイスのアップグレードを組織に促し、攻撃で使用された2つのマルウェアに関する分析を公開しました。CISAとNCSCは、この調査において「極めて緊密に協力した」とされており、国際的なパートナーとの「これまでで最も深い技術的協力」と評されています。この攻撃キャンペーンは、Ciscoが「UAT4356」と名付けた脅威アクターの行動と一致しており、このアクターは「洗練された国家支援型アクター」の兆候を示す、スパイ活動に明確な焦点を当てた特注のツールを使用しているとされています。
Ciscoからの警告
Ciscoは、エネルギーや電気通信などの重要インフラネットワークの境界に設置された同社製品への侵入を試みる動きが「劇的かつ持続的に増加している」と警告しています。データがネットワークに出入りする「重要な経路」であるこれらのデバイスは、定期的に迅速にパッチを適用し、最新のハードウェアおよびソフトウェアバージョンと構成を使用し、セキュリティの観点から厳密に監視する必要があると強調しています。これらのデバイスに足がかりを得ることで、攻撃者は組織に直接侵入し、トラフィックを再ルーティングまたは変更し、ネットワーク通信を監視することが可能になります。
元記事: CISA orders feds to patch Cisco flaws used to hack multiple agencies | Cybersecurity Dive