CISAは、米国連邦政府機関に対し、Cisco Adaptive Security Appliances(ASA)およびFirepowerデバイスで積極的に悪用されている2つの脆弱性に完全なパッチを適用するよう警告しました。
CVE-2025-20362およびCVE-2025-20333として追跡されているこれらのセキュリティ欠陥は、それぞれ、リモートの脅威アクターが認証なしで制限付きURLエンドポイントへアクセスしたり、脆弱なCiscoファイアウォールデバイス上でコード実行を行ったりできるようにします。これらを連鎖させて悪用された場合、未パッチのデバイスに対して、認証されていない攻撃者がリモートから完全な制御権を獲得できる可能性があります。
Ciscoは9月にこれら2つの脆弱性にパッチを適用した際、VPNウェブサービスが有効化された5500-Xシリーズデバイスを標的とする攻撃において、ゼロデイとして悪用されていたと顧客に注意喚起しました。同社はまた、これらの攻撃をArcaneDoorキャンペーンと関連付けています。このキャンペーンは、2023年11月以降、政府ネットワークへの侵入において、他の2つのゼロデイ脆弱性(CVE-2024-20353およびCVE-2024-20359)も悪用してきました。
同日、CISAは緊急指令25-03を発出し、米国連邦政府機関に対し、CVE-2025-20362およびCVE-2025-20333の積極的な悪用からCiscoファイアウォールデバイスを24時間以内に保護するよう命じました。
インターネット監視プラットフォームShadowserverは現在、これらの攻撃に対して脆弱な3万台超のCiscoデバイスを追跡しており、これは10月初旬に2つの脆弱性の追跡を開始した時点での4万5,000台超から減少しています。
一部の連邦政府機関は脆弱性を完全にはパッチ適用できず
しかし本日サイバーセキュリティ機関が警告したように、一部の政府機関は脆弱なデバイスに対して正しくパッチを適用できておらず、連邦民間行政機関(FCEB)機関のネットワーク上にある未パッチのCiscoファイアウォールを標的とする継続的な攻撃の中で、攻撃にさらされたままとなっています。
「CISAは、必要なアップデートを適用したと考えていたものの、実際には最低限必要なソフトウェアバージョンまで更新していなかった複数の組織を把握しています。CISAは、すべての組織に対し、正しいアップデートが適用されていることを確認するよう推奨します」とCISAは述べています。
「CISAが機関から報告されたデータを分析したところ、報告テンプレート上では『パッチ適用済み』と記載されているものの、EDで示された脅威活動に対して依然として脆弱なソフトウェアバージョンにしか更新されていないデバイスが確認されました。CISAは、FCEB機関において、これら脆弱なバージョンの積極的な悪用を追跡しています」と付け加えました。
この問題に対処するため、CISAは、CVE-2025-20362およびCVE-2025-20333の脆弱性を連鎖させた攻撃から連邦政府機関のネットワークを保護するのに役立つ新たなガイダンスを公開しました。
また、緊急指令25-03では、インターネットに露出しているデバイスだけでなく、ネットワーク上のすべてのASAおよびFirepowerデバイスに対して直ちに最新パッチを適用し、侵入攻撃を遮断し侵害リスクを軽減することを機関に求めていることも改めて想起させました。
今週、CISAはまた、ゼロデイ攻撃でLandFallスパイウェアをWhatsAppを実行しているデバイスに展開するために悪用された重大な脆弱性に対してSamsungデバイスにパッチを適用するよう米国連邦政府機関に命じるとともに、積極的に悪用されているリモートコード実行脆弱性からWatchGuard Fireboxファイアウォールを保護するよう求めました。
