- 攻撃者はCisco ASAファイアウォールの2つのゼロデイ脆弱性を悪用し、リモートアクセスと永続化を実現
- キャンペーンは、ログの無効化やファームウェアの改ざんなどのステルス戦術を使い、検知を回避
- Ciscoは、Secure Boot対応モデルへのアップグレードと、侵害されたデバイスの完全リセットを強く推奨
Ciscoは、一部のサービスを利用している企業を標的とした継続的なキャンペーンについて顧客に警告しており、最近「新たな攻撃バリアント」に気付いたとしています。
同社の新しいレポートによると、Cisco ASA 5500-XシリーズおよびSecure Firewallデバイスを標的とした継続的な攻撃キャンペーンが観測されているとのことです。攻撃者はCVE-2025-20333およびCVE-2025-20362として追跡されている2つの重大なゼロデイ脆弱性を悪用しており、これによりリモートアクセスの取得、任意コードの実行、マルウェアの展開、場合によってはパッチ未適用デバイスでサービス拒否(DoS)による再起動を引き起こす可能性があります。
Ciscoの説明によると、攻撃は2025年5月に始まり、「新しいバリアント」は独立したマルウェアではなく、むしろ攻撃手法のアップデート版 ― つまり、2024年のArcaneDoor脅威アクターに関連する同じ活動の進化版であると強調しています。
高度な回避技術
これらの攻撃では、脅威アクターがSecure BootやTrust Anchor保護のない旧型ASAモデルのVPNウェブサービスを悪用し、ログを無効化したり、ROMMONファームウェアを改ざんして、再起動後も永続的に居座ることができるようにしています。
脅威アクターは身を隠し、フォレンジック調査を妨害するために、ステルスおよび高度な回避技術を使用したとCiscoは付け加えています:
「攻撃者は複数のゼロデイ脆弱性を悪用し、ログの無効化、CLIコマンドの傍受、診断分析を妨げるための意図的なデバイスクラッシュなど、高度な回避技術を用いていたことが確認されました」とCiscoは述べています。
「このインシデントの複雑さと高度な手口により、Ciscoのエンジニアリングおよびセキュリティチーム全体による広範かつ多分野にわたる対応が必要となりました。」
脅威を軽減するために、Ciscoはユーザーに対し、影響を受けるモデルとファームウェアの特定、VPNウェブサービスが有効かどうかの確認、パッチ済みバージョンへのアップグレード、または一時的措置としてSSL/TSLベースのVPNウェブサービスの無効化、そして侵害されたデバイスの工場出荷時設定へのリセット後にパスワード・証明書・鍵の更新を推奨しています。
侵害が確認されているのは旧型でサポート外のASA 5500-Xデバイスのみであり、新しいSecure Boot対応ファイアウォールは耐性があるようだとCiscoは強調し、すべての顧客にアップグレードを促しています。
出典:The Register
GoogleニュースでTechRadarをフォロー、 優先ソースに追加して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。必ず「フォロー」ボタンをクリックしてください!
もちろん、TikTokでTechRadarをフォローして、ニュースやレビュー、開封動画などのビデオ形式の情報や、WhatsAppで定期的に最新情報も受け取れます。
翻訳元: https://www.techradar.com/pro/security/cisco-firewalls-are-facing-another-huge-surge-of-attacks
