Ciscoは、Secure Firewall Management Center(FMC)ソフトウェアにおける重大な脆弱性を公開しました。
リモートコード実行(RCE)の脆弱性であるCVE-2025-20265は、最大CVSS深刻度スコア10.0を持ちます。顧客は、潜在的な侵害を避けるため、できるだけ早くソフトウェアアップデートを適用するよう強く推奨されています。
この脆弱性は、Cisco FMCソフトウェアのRADIUSシステム実装に含まれています。悪用された場合、認証されていないリモートの攻撃者が、任意のシェルコマンドをデバイス上で実行させることが可能になります。
RADIUSは、Ciscoデバイスで使用されるアクセスサーバーの認証およびアカウンティングプロトコルであり、ユーザー認証情報の検証やネットワークリソースの利用管理を通じて、安全なネットワークアクセスを実現します。
「この脆弱性は、認証フェーズにおけるユーザー入力の適切な処理が行われていないことに起因します。攻撃者は、認証のために設定されたRADIUSサーバーで認証される資格情報を入力する際に細工した入力を送信することで、この脆弱性を悪用できます。攻撃が成功すると、攻撃者は高い権限レベルでコマンドを実行できる可能性があります」と、同社は8月14日付のアドバイザリで警告しています。
このバグは、RADIUS認証が有効化されている場合のCisco Secure FMCソフトウェアリリース7.0.7および7.7.0に影響します。
ファイアウォール管理の脆弱性への対処方法
この通知は、Cisco Secure Firewall ASA、Secure FMC、Secure FTDソフトウェアにおける29件の脆弱性を説明した21件のCiscoセキュリティアドバイザリを含む一括公開の一部です。
Ciscoは、特定のSecure FMC脆弱性に対応するため、顧客に無償のソフトウェアアップデートを提供しています。定期的なソフトウェアアップデートを受ける権利のあるサービス契約を結んでいる顧客は、通常のアップデートチャネルを通じてセキュリティ修正を取得してください。
この脆弱性に対処するための回避策はありません。ただし、RADIUS認証が設定されている場合のみ悪用可能であるため、Ciscoは、ローカルユーザーアカウント、外部LDAP認証、またはSAMLシングルサインオン(SSO)など、他の認証方式に切り替えることで問題を緩和できると述べています。
今回のCiscoのアドバイザリは、2025年に同社製品の悪用が相次いで報告されたことを受けて発表されました。
7月には、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、Cisco Identity Services Engine(ISE)ソフトウェアの2件の重大な脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加しました。
3月には、同庁が連邦政府機関に対し、複数のCisco Small Business RVシリーズルーターのWebベース管理インターフェースにおけるコマンドインジェクション脆弱性CVE-2023-20118の修正を命じました。
Ciscoは2月、中国の国家支援型攻撃者Salt Typhoonが、JumbledPathと呼ばれるカスタムユーティリティを利用してCiscoデバイスを介し、米国の通信事業者にアクセスしたことを明らかにしました。
翻訳元: https://www.infosecurity-magazine.com/news/cisco-critical-rce-flaw-firewall/