はじめに

約5万台のシスコ製ファイアウォールが、現在活発に悪用されている脆弱性の影響を受けています。セキュリティ監視サービス「The Shadowserver Foundation」の報告によると、インターネットに公開されている約48,800台のCisco Adaptive Security Appliance (ASA) および Firewall Threat Defense (FTD) アプライアンスが、2つの深刻な脆弱性CVE-2025-20333とCVE-2025-20362の影響を受けているとのことです。

これらの脆弱性は、認証なしでリモートから悪用可能であり、任意コード実行やVPNアクセスに関連する制限されたURLエンドポイントへのアクセスを許してしまう可能性があります。シスコは9月25日に、パッチが利用可能になる前からこれらの問題が攻撃に悪用されていると警告していました。

脆弱性の詳細と影響

現在、これらの脆弱性に対する回避策は存在しません。しかし、一時的な対策として、VPNウェブインターフェースの公開を制限することや、疑わしいVPNログインおよび細工されたHTTPリクエストに対するログ記録と監視を強化することが推奨されています。

依然として残る脅威

The Shadowserver Foundationは、9月29日時点で依然として48,800台のASAおよびFTDインスタンスが脆弱な状態にあると報告しています。これらのIPアドレスの多くは米国（19,200以上）に集中していますが、日本でも2,300台が確認されており、英国（2,800台）、ドイツ（2,200台）、ロシア（2,100台）、カナダ（1,500台）、デンマーク（1,200台）が続いています。

この状況は、継続的な悪用活動や以前の警告に対する適切な対応が不足していることを示唆しています。実際、Greynoiseは9月4日に、8月下旬からCisco ASAデバイスを標的とした不審なスキャンが発生していると警告しており、これらのスキャンは標的製品における未公開の脆弱性の兆候であることが80%のケースで示されています。

政府機関の緊急対応

これらの脆弱性に関連するリスクは非常に深刻であるため、米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）は緊急指令を発令しました。これにより、連邦政府の全行政機関（FCEB）に対し、ネットワーク上の侵害されたCisco ASAおよびFTDインスタンスを特定し、サービスを継続するものは24時間以内にアップグレードするよう指示しました。また、CISAは、サポート終了（EoS）を迎えるASAデバイスについては、本日（月末）までに連邦政府機関のネットワークから切断するよう助言しています。

攻撃手法の解明

英国の国家サイバーセキュリティセンター（NCSC）からの報告は、攻撃に関するさらなる情報を提供しています。それによると、攻撃者は「Line Viper」と呼ばれるシェルコードローダーマルウェアを展開し、その後「RayInitiator」というGRUBブートキットを使用しているとのことです。

管理者への緊急勧告

活発な悪用が1週間以上続いていることを踏まえ、影響を受ける可能性のあるシステムの管理者は、CVE-2025-20333およびCVE-2025-20362に対するシスコの推奨事項をできるだけ早く適用するよう強く求められています。

---

元記事: 元の記事へのリンクは提供されていません