Cisco AsyncOSのゼロデイ脆弱性を修正
Ciscoは、2025年11月以降、Secure Email Gateway (SEG) および Secure Email and Web Manager (SEWM) アプライアンスに対する攻撃で悪用されていた最大深刻度のCisco AsyncOSゼロデイ脆弱性に対し、ついにパッチを公開しました。Ciscoが2025年12月に開示したこの脆弱性(CVE-2025-20393)は、スパム隔離機能が有効でインターネットに公開されている非標準設定のCisco SEGおよびCisco SEWMアプライアンスのみが影響を受けます。
Ciscoは、「Cisco Secure Email Gateway、Secure Email、AsyncOSソフトウェア、およびWeb Managerアプライアンスには、不適切な入力検証の脆弱性が存在し、脅威アクターが影響を受けるアプライアンスの基盤となるオペレーティングシステム上でルート権限で任意のコマンドを実行できる」と説明しています。脆弱なアプライアンスを修正済みソフトウェアバージョンにアップグレードするための詳細な手順は、セキュリティアドバイザリで提供されています。
攻撃の詳細と関与する脅威アクター
Ciscoの脅威インテリジェンス研究チームであるCisco Talosは、中国系のハッキンググループ「UAT-9686」がこの脆弱性を悪用し、ルート権限で任意のコマンドを実行する攻撃に関与している可能性が高いと見ています。攻撃の調査中に、Cisco Talosは脅威アクターが以下の悪意のあるツールを展開していることを観測しました:
- AquaShell:永続バックドア
- AquaTunnelとChisel:リバースSSHトンネルマルウェアインプラント
- AquaPurge:悪意のある活動の痕跡を消去するためのログクリアリングツール
AquaTunnelやこのキャンペーンで展開された他の悪意のあるツールは、過去にAPT41やUNC5174といった他の中国系国家支援型脅威グループとも関連付けられています。Cisco Talosは、「我々は、UAT-9686として追跡している攻撃者が、中国系の高度な持続的脅威(APT)アクターであり、そのツール使用とインフラは他の中国系脅威グループと一致していると中程度の確信度で評価している」と述べています。
CISAによる警告と連邦政府機関への勧告
CISA(米国サイバーセキュリティ・社会基盤安全保障庁)は、2025年12月17日にCVE-2025-20393を既知の悪用された脆弱性カタログに追加しました。そして、Binding Operational Directive (BOD) 22-01に基づき、連邦政府機関に対し、2025年12月24日までにCiscoのガイダンスに従ってシステムを保護するよう指示しました。
CISAは、「露出を評価し、リスクを軽減するためにCiscoのガイドラインに従ってください。この脆弱性の影響を受けるすべてのインターネットにアクセス可能なCisco製品で、潜在的な侵害の兆候がないか確認してください。ベンダーから提供される最終的な軽減策が利用可能になり次第、適用してください」と述べ、「これらの種類の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府にとって重大なリスクをもたらす」と警告しています。