CISAがCiscoのゼロデイ脆弱性に対する警告を発令
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米国の連邦政府機関に対し、Cisco Adaptive Security Appliances(ASA)およびFirepowerデバイスにおける2つの積極的に悪用されている脆弱性(CVE-2025-20362およびCVE-2025-20333)を完全にパッチ適用するよう警告しました。
これらのセキュリティ上の欠陥は、リモートの攻撃者が認証なしに制限されたURLエンドポイントにアクセスしたり、脆弱なCiscoファイアウォールデバイス上でコード実行を可能にしたりするものです。これらが連鎖的に悪用されると、認証されていない攻撃者がパッチ未適用のデバイスを完全に制御できる可能性があります。
Ciscoは9月にこれらの脆弱性に対するパッチを公開した際、VPNウェブサービスが有効になっている5500-Xシリーズデバイスを標的とした攻撃で、これらがゼロデイとして悪用されていたことを顧客に警告していました。同社はまた、これらの攻撃を「ArcaneDoorキャンペーン」に関連付けており、このキャンペーンでは2023年11月以降、他の2つのゼロデイバグ(CVE-2024-20353およびCVE-2024-20359)が悪用され、政府ネットワークが侵害されています。
CISAは同日、緊急指令25-03を発令し、米国の連邦政府機関に対し、CVE-2025-20362およびCVE-2025-20333の積極的な悪用からCiscoファイアウォールデバイスを24時間以内に保護するよう命じました。インターネット監視プラットフォームShadowserverは現在、これらの攻撃に対して脆弱なCiscoデバイスが30,000台以上あると追跡しており、10月初旬に2つの脆弱性の追跡を開始した際の45,000台以上から減少しています。
一部の連邦政府機関がパッチ適用に失敗
しかし、CISAが本日警告したように、一部の政府機関は脆弱なデバイスに正しくパッチを適用しておらず、連邦政府民間執行機関(FCEB)のネットワークを標的とした、パッチ未適用のCiscoファイアウォールに対する継続的な攻撃の中で、攻撃にさらされたままになっています。
CISAは、「必要なアップデートを適用したと考えていたが、実際には最小ソフトウェアバージョンにアップデートしていなかった組織が複数あることをCISAは認識している。CISAはすべての組織に対し、正しいアップデートが適用されていることを確認するよう推奨する」と述べました。
さらに、「CISAの機関報告データ分析において、報告テンプレートで『パッチ適用済み』とマークされていたデバイスが、EDで概説されている脅威活動に対して依然として脆弱なソフトウェアバージョンにアップデートされていたことをCISAは特定した。CISAはFCEB機関におけるこれらの脆弱なバージョンの積極的な悪用を追跡している」と付け加えました。
この問題に対処するため、CISAは連邦政府機関がCVE-2025-20362とCVE-2025-20333の脆弱性を連鎖的に悪用する攻撃からネットワークを保護するための新しいガイダンスを公開しました。また、緊急指令25-03は、攻撃を阻止し、侵害のリスクを軽減するために、インターネットに公開されているデバイスだけでなく、ネットワーク上のすべてのASAおよびFirepowerデバイスに直ちに最新のパッチを適用することを義務付けていることを改めて強調しました。
その他のCISAからの警告
今週、CISAはまた、米国の連邦政府機関に対し、WhatsAppを実行しているデバイスにLandFallスパイウェアを配備するためにゼロデイ攻撃で悪用されたSamsungデバイスの重大な脆弱性にパッチを適用するよう命じました。さらに、WatchGuard Fireboxファイアウォールを、積極的に悪用されているリモートコード実行の脆弱性から保護するよう指示しました。