はじめに
Cisco Secure Firewall Adaptive Security Appliance (ASA) SoftwareおよびCisco Secure Firewall Threat Defense (FTD) Softwareにおいて、深刻なゼロデイ脆弱性(CVE-2025-20333)が発見され、現在活発に悪用されていることが判明しました。このリモートコード実行(RCE)の脆弱性は、認証された攻撃者が影響を受けるデバイス上でrootとして任意のコードを実行することを可能にします。
Ciscoは2025年9月25日にアドバイザリを公開し、すべてのユーザーに対し、修正済みソフトウェアリリースへの即時アップデートを強く推奨しています。この脆弱性に対する回避策は存在しません。
脆弱性の詳細
今回報告された脆弱性は以下の通りです。
- CVE-2025-20333 (CVSS 3.1スコア: 9.9, 重大度: Critical): VPNウェブサーバーコンポーネントにおけるユーザー提供入力の不適切な検証に起因するRCE脆弱性です。有効なVPN認証情報を持つ攻撃者が、特別に細工されたリクエストをVPNウェブポータルに送信することで、root権限でのコード実行が可能となり、システム全体の侵害につながります。
- CVE-2025-20362 (CVSS 3.1スコア: 6.5, 重大度: Medium): 認証されていない攻撃者が、適切なアクセスチェックなしに制限されたURLエンドポイントにアクセスできる脆弱性です。これは直接的なコード実行にはつながりませんが、アクセス制御を損ない、さらなる攻撃の足がかりとなる可能性があります。
両脆弱性は、HTTP(S)サービスにおける入力検証の不備という類似した根本原因を共有しています。
影響を受ける製品と設定
影響を受けるデバイスは、WebVPNまたはAnyConnect IKEv2リモートアクセスが有効な、脆弱なリリースを実行しているすべてのASAまたはFTDシステムです。特に、以下の設定がリスクを高めます。
crypto ikev2 enable <interface> client-services port <port_numbers>webvpn enable <interface>
Cisco Secure Firewall Management Center (FMC)およびDevice Manager (FDM)の構成でリモートアクセスVPNが有効になっている場合も、FTDデバイスが危険にさらされます。なお、Cisco Secure FMC Software自体は影響を受けないことが確認されています。
推奨される対策
Ciscoは、顧客に対し、可能な限り速やかに修正済みソフトウェアリリースへアップグレードすることを強く推奨しています。CVE-2025-20333に対する完全な回避策は存在しません。
Ciscoのアドバイザリ(cisco-sa-asaftd-webvpn-z5xP8EUB)には、詳細情報とソフトウェアアップデートへのリンクが含まれています。顧客はCisco Software Checkerを使用して、影響を受けるバージョンを特定し、最初の修正リリースを確認することができます。
アップデート後には、ブルートフォースログイン試行、クライアント開始攻撃、無効なサービス接続から保護するために、VPNサービスに対する脅威検出設定を見直すことが推奨されます。詳細な手順は、Cisco Secure Firewall ASA CLI Configuration Guideの「Configure Threat Detection for VPN Services」セクションに記載されています。
Ciscoからの警告と今後の対応
Cisco PSIRTは、CVE-2025-20333の活発な悪用試行を追跡しており、迅速なパッチ適用を促しています。この脆弱性はCisco TACサポートケース中に発見され、すでに実世界で悪用されていることが確認されています。
セキュリティチームは、システム全体の乗っ取りを防ぐため、ASAおよびFTDデバイスへのパッチ適用を最優先事項として取り組むべきです。
元記事: https://gbhackers.com/cisco-asa-0-day-rce-flaw-actively-exploited-in-the-wild/