- CISAは、複数の機関が積極的に悪用されている2つのCiscoファイアウォールの脆弱性に適切にパッチを適用できていないと警告
- CVE-2025-20333およびCVE-2025-20362は、政府ネットワークを標的としたArcaneDoorキャンペーンと関連
- 緊急指令やパッチ適用の取り組みにもかかわらず、32,000台以上のデバイスが依然として脆弱なまま
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦民間行政機関(FCEB)に対し、一部の機関が現在野放しで悪用されている2つの重要なCiscoの脆弱性に適切にパッチを適用できていないと警告しています。
その結果、これらの機関はマルウェアや情報窃取型マルウェア、さらにはランサムウェア攻撃のリスクにさらされ続けています。
問題となっている2つの脆弱性はCVE-2025-20333およびCVE-2025-20362として追跡されており、2025年9月にCisco Secure Firewall Adaptive Security Appliance(ASA)ソフトウェアおよびCisco Secure Firewall Threat Defense(FTD)ソフトウェアのVPNウェブサーバーで発見されました。
パッチ適用のミス
当時、Ciscoは両脆弱性がゼロデイとして悪用され、ウェブサービスが有効な5500-Xシリーズデバイスが標的になっていたと発表しました。
同社は、これらの攻撃が数年来活動しているArcaneDoorキャンペーンと関連しており、政府ネットワークを狙っていると強調しました。
同日、CISAは緊急指令を発出し、連邦機関に対して脆弱なソフトウェアのパッチ適用または使用停止を24時間以内に行うよう求めました。通常、CISAが既知の悪用脆弱性(KEV)カタログにバグを追加する場合、パッチ適用の期限は3週間です。
しかし、一部の機関ではシステムに適切なパッチが適用されず、脆弱なままとなっているようです。
「CISAは、必要なアップデートを適用したと考えていたものの、実際には最小限のソフトウェアバージョンにアップデートされていなかった複数の組織を把握しています」と、同庁は2025年11月12日に公開した最新の勧告で述べています。
「CISAは、すべての組織に対し、正しいアップデートが適用されていることを確認するよう推奨します。ASAまたはFirepowerデバイスが必要なソフトウェアバージョンにまだアップデートされていない場合、または2025年9月26日以降にアップデートされたデバイスについては、CISAは継続的かつ新たな脅威活動を軽減するための追加措置を推奨します。CISAは、ASAおよびFirepowerデバイスを持つすべての機関に対し、このガイダンスに従うよう強く促します。」
Shadowserver Foundationは現在、約32,000台の脆弱なデバイスを追跡しており、1か月前のほぼ40,000台からは減少しています。進展はあるものの、ペースは遅い状況です。
