はじめに
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ゼロデイ攻撃で悪用されているCiscoファイアウォールデバイスの2つの脆弱性に対し、米連邦機関にパッチ適用を命じる新たな緊急指令を発令しました。
緊急指令25-03の詳細
9月25日に連邦政府の行政機関(FCEB)向けに発令された緊急指令25-03は、Adaptive Security Appliance (ASA) および Firewall Threat Defense (FTD) ソフトウェアのCVE-2025-20333とCVE-2025-20362の脆弱性へのパッチ適用を義務付けています。
CISAは、「このキャンペーンは広範囲にわたり、ゼロデイ脆弱性を悪用してASA上で認証なしのリモートコード実行を達成し、さらにリードオンリーメモリ(ROM)を操作して再起動やシステムアップグレード後も永続化を図るものです。この活動は、被害ネットワークに重大なリスクをもたらします」と警告しています。
CISAが求める対応
CISAは、すべてのFCEB機関に対し、以下の対応を求めています。
- ネットワーク上のすべてのCisco ASAおよびFirepowerデバイスを特定する。
- 侵害されたデバイスをネットワークから切断する。
- 悪意のある活動が見られないデバイスは、9月26日午後12時(EDT)までにアップグレード(パッチ適用)する。
- サポート終了(EOL)を迎えるASAデバイスは、9月30日までにネットワークから恒久的に切断する。
Ciscoの対応と脆弱性の詳細
Ciscoは同日、これら2つのセキュリティ脆弱性に対処するためのセキュリティアップデートをリリースしました。
- CVE-2025-20333: 認証された攻撃者が脆弱なデバイス上でリモートコード実行を可能にする。
- CVE-2025-20362: リモートの脅威アクターが認証なしで制限されたURLエンドポイントにアクセスすることを可能にする。
これら2つの脆弱性を組み合わせることで、認証されていない攻撃者がパッチ未適用のデバイスをリモートで完全に制御できるようになります。
Ciscoによると、攻撃者はログの無効化、CLIコマンドの傍受、診断分析を妨げるための意図的なデバイスクラッシュなど、高度な回避技術を使用していることが観測されています。特に、VPNウェブサービスが有効な5500-Xシリーズデバイスが標的とされており、侵害されたデバイスのフォレンジック分析では、脅威アクターがROMMONを改変し、再起動やソフトウェアアップグレード後も永続性を維持しているケースが確認されています。
ArcaneDoorキャンペーンとの関連
CISAとCiscoは、これらの進行中の攻撃をArcaneDoorキャンペーンと関連付けています。ArcaneDoorキャンペーンでは、2023年11月以降、別の2つのASAおよびFTDのゼロデイ脆弱性(CVE-2024-20353およびCVE-2024-20359)が悪用され、世界中の政府ネットワークが侵害されていました。
Ciscoは2024年1月初旬にArcaneDoor攻撃を認識し、キャンペーンの背後にいる脅威グループUAT4356(MicrosoftではSTORM-1849として追跡)が、少なくとも2023年7月以降、これら2つのゼロデイ脆弱性のエクスプロイトをテストおよび開発していた証拠を発見しました。攻撃では、これまで知られていなかったLine Dancer(インメモリシェルコードローダー)とLine Runner(バックドアマルウェア)が展開され、侵害されたCiscoデバイス上での永続性が維持されていました。