米国サイバーセキュリティ機関CISAは、中国関連のArcaneDoorスパイ活動で悪用されたCisco Secure Firewall Adaptive Security Appliance(ASA)およびSecure Firewall Threat Defense(FTD)の2つの脆弱性への対応について、新たな警告を発表しました。
これら2つの脆弱性(CVE-2025-20333およびCVE-2025-20362)は、政府機関を標的としたゼロデイ攻撃で悪用された後、5月に発見されました。
攻撃の一環として、脅威アクターはこれらの脆弱性を利用し、マルウェアの展開、脆弱な機器上でのコマンド実行、さらにデータの持ち出しを行った可能性があります。
ASAおよびFTDソフトウェアのVPNウェブサーバーに影響を与えるこれらの問題により、攻撃者は細工されたリクエストを送信してroot権限で任意のコードを実行したり、認証なしで制限されたURLにアクセスしたりすることが可能となります。
Ciscoは9月25日にこれら2つのセキュリティ欠陥に対するパッチを公開し、11月6日には攻撃の新たな亜種が機器のリロードを引き起こし、サービス拒否(DoS)に至ると警告しました。
9月25日、CISAは緊急指令25-03(ED 25-03)を発出し、連邦機関に対し、脆弱なASAおよびFTDソフトウェアバージョンが稼働しているCisco機器を特定し、直ちにパッチを適用するよう求めました。
「CISAは、すべてのCisco ASAおよびFirepower機器を把握し、CISAが提供する手順とツールを用いてフォレンジック調査および侵害評価を行い、サポート終了機器を切断し、継続使用する機器はアップグレードするよう機関に指示しています」とED 25-03は規定しています。
連邦機関はまた、特定した機器の完全なインベントリおよび実施した対応について、10月2日までにCISAへ報告することが求められていました。しかし、同機関によると、一部の機関は適切に機器へパッチを適用できていませんでした。
広告。スクロールして読み続けてください。
「CISAは、機関から報告されたデータの分析を通じて、機器を『パッチ済み』とマークしているものの、依然としてEDで示された脅威活動に対して脆弱なソフトウェアバージョンにアップデートしただけの事例があることを確認しました」と、11月12日のED 25-03アップデートは述べています。
一部の連邦機関が該当するCisco機器向けの最新ソフトウェアバージョンを見つけられなかったため、CISAはCVE-2025-20333およびCVE-2025-20362の両方に対する修正を含む最小バージョンのリストと、脆弱性への新たなガイダンスを公開しました。
「ASAまたはFirepower機器が必要なソフトウェアバージョンにまだアップデートされていない場合や、2025年9月26日以降にアップデートされた機器については、CISAは継続中および新たな脅威活動への対策として追加の対応を推奨します。CISAは、すべてのASAおよびFirepower機器を持つ機関に対し、[この]ガイダンスに従うよう強く求めます」とCISAは述べています。
