はじめに

Ciscoは、同社のAdaptive Security Appliance (ASA) およびFirepower Threat Defense (FTD) ファイアウォールに影響を与える2つの深刻な脆弱性を確認しました。これらの脆弱性は、CVE-2025-20333およびCVE-2025-20362として追跡されており、攻撃者がパッチ未適用のデバイス上で任意のコードを実行することを可能にします。Ciscoのセキュリティアドバイザリは、両方の脆弱性に対するエクスプロイトがすでに実環境で悪用されていると警告しています。世界中の組織に対し、デバイスを確認し、最新のソフトウェアアップデートを直ちに適用するよう強く求めています。

脆弱性の詳細

これらのゼロデイ脆弱性は、ネットワーク防御に深刻なリスクをもたらします。悪用されたファイアウォールは、攻撃者が境界セキュリティを迂回し、データを盗み、企業ネットワーク内部に侵入する経路となる可能性があります。多くの中小規模組織では迅速なパッチ適用プロセスが不足しているため、主要な標的となっています。

• CVE-2025-20333:
  • 影響製品: Cisco ASAおよびFTD (9.18.1.17まで)
  • 影響: リモートコード実行、完全なOS制御
  • 悪用前提条件: 管理インターフェースへのネットワークアクセス
  • CVSS 3.1スコア: 9.8
• CVE-2025-20362:
  • 影響製品: Cisco ASAおよびFTD (9.18.1.17まで)
  • 影響: 特権昇格、コマンドインジェクション
  • 悪用前提条件: 有効なユーザー認証情報
  • CVSS 3.1スコア: 9.1

広がる脅威と影響

Shadowserverの毎日の脆弱なHTTPレポートには、これらのゼロデイバグの影響を受けやすいASA/FTDインスタンスのライブリストが含まれています。9月29日には、48,800以上の公開されているIPアドレスが依然として古いファイアウォールバージョンを実行していることが発見されました。最も多くの露出ホストがあるのは米国で、ドイツ、ブラジル、インド、英国がそれに続きます。

レガシーなASAモデルを使用している組織や、最近のメンテナンスリリースを適用していない組織は、最もリスクが高い状態にあります。Ciscoのパッチは、入力検証の強化とメモリ処理ルーチンの修正により、両方の脆弱性に対処しています。

緩和策とベストプラクティス

アクティブな悪用と高いCVSSスコアを考慮すると、これらのゼロデイ脆弱性には緊急の注意が必要です。ASA/FTDインスタンスのセキュリティを怠ると、ネットワーク全体の侵害やデータ盗難のリスクがあります。セキュリティチームは、この危険なギャップを埋めるために直ちに行動する必要があります。

• 直ちにパッチを適用: Ciscoのアドバイザリポータルから最新のASA/FTDソフトウェアをダウンロードし、メンテナンスリリース9.18.1.18以降をインストールしてください。
• 管理アクセスを制限: ASA/FTDインターフェースのWebおよびAPIアクセスを、信頼できるIPアドレスのみに制限してください。
• 認証情報を強化: すべてのファイアウォール管理者アカウントに対し、多要素認証と強力なパスワードを強制してください。
• ログを監視: 不審な管理者ログイン、設定変更、異常なトラフィックフローがないかログを監視してください。
• ネットワークセグメンテーション: ファイアウォールが侵害された場合に備え、追加の防御層の背後に重要な資産を隔離してください。

元記事: https://gbhackers.com/cisco-firewalls-0-day-vulnerability/