概要
Ciscoは、HTTPベースの管理を扱う複数のCiscoプラットフォームにおける深刻な脆弱性についてセキュリティアドバイザリ「cisco-sa-http-code-exec-WmfP3h3O」を公開しました。この脆弱性はCVE-2025-20363として追跡されており、HTTPリクエストにおけるユーザー提供入力の不適切な検証に起因します。
脆弱性の詳細と影響
この脆弱性を悪用すると、攻撃者は悪意のあるHTTPトラフィックを生成し、rootユーザーとして任意のコードを実行させることができ、結果としてデバイスが完全に侵害される可能性があります。
- CVE ID: CVE-2025-20363
- 影響を受ける製品:
- SSL VPNまたはMUSが有効なCisco Secure Firewall ASAおよびSecure Firewall Threat Defense (FTD) ソフトウェア
- リモートアクセスSSL VPNが有効なCisco IOS、IOS XEソフトウェア
- HTTPサーバーが有効なASR-9001上のCisco IOS XR (32ビット)
- 影響: 完全なrootコード実行、デバイスの完全な侵害
- CVSS 3.1スコア: 9.0 (Critical)
この脆弱性は、ネットワークベースの攻撃でユーザーインタラクションなしに、機密性、完全性、可用性の完全な損失をもたらすと評価されています。
認証要件
Cisco Secure Firewall ASAおよびFTDデバイスでは、認証は不要です。非認証の攻撃者は、傍受されたSSL対応ウェブサービスに特別に細工されたリクエストを直接送信し、システム情報を収集した後にエクスプロイト緩和策をバイパスすることができます。
Cisco IOS、IOS XE、およびIOS XRプラットフォームでは、低権限の認証済みユーザーがHTTPサービスにおける同じ脆弱性を悪用してrootアクセス権を取得できます。
Ciscoの推奨事項
この問題に対する回避策は提供されておらず、ソフトウェアアップデートのみが問題を完全に解決します。Ciscoは以下の対応を強く推奨しています。
- 影響を受けるすべてのファイアウォールおよびルーターに対し、直ちに修正済みソフトウェアリリースを適用してください。
- Cisco Software Checkerツールを使用して、プラットフォームの露出を確認してください。
- 直接アップグレードできない場合や有効なサービス契約がない場合は、Cisco TACに連絡して支援を受けてください。
この脆弱性は、CiscoのAdvanced Security Initiatives GroupのKeane O’Kelley氏がTACサポートケース中に発見しました。現時点では、CVE-2025-20363を悪用した公開エクスプロイトや攻撃は観測されていません。
結論
この脆弱性に対処しない場合、重要なネットワークインフラストラクチャがリモートの攻撃者によって完全に侵害される危険性があります。Ciscoファイアウォールおよびルーティングプラットフォームのセキュリティを維持するためには、迅速なパッチの展開が不可欠です。