Ciscoは水曜日、中国に関連する脅威グループが同社の一部セキュリティ製品に影響する新たなゼロデイを悪用していることが確認されたとして、顧客に警告した。
この脆弱性はCVE-2025-20393として追跡され、深刻度はクリティカルに分類されている。Secure Email Gateway(旧ESA)およびSecure Email and Web Manager(旧Content SMA)向けのCisco AsyncOSソフトウェアを実行するアプライアンスに影響する。
このゼロデイは、基盤となるオペレーティングシステム上でroot権限により任意のコマンドを実行するために悪用され得る。
CVE-2025-20393の悪用は、Cisco自身のTalosセキュリティ専門家によって発見された。
Ciscoが確認した攻撃は、「インターネットに対して特定のポートが開放されているアプライアンスの限られた一部」を標的としていた。
Cisco Talosは、これらの攻撃を、UAT-9686として追跡されている脅威アクターによるものだと帰属させた。専門家は、使用されているツールとインフラに基づき、中程度の確度で、中国の国家支援APTであるとみている。
Talosによれば、12月10日に発見されたこれらの攻撃は、少なくとも11月下旬以降継続している。
攻撃では、カスタムの永続化メカニズムを提供するAquaShellというバックドア、ログファイルの消去を目的としたツールAquaPurge、侵害されたシステムへのリモートアクセスのためにリバースSSH接続を作成するAquaTunnelが使用されている。
さらにTalosは、オープンソースのトンネリングツールであるChiselも確認している。
Talosは「Chiselは、攻撃者が侵害されたエッジデバイスを介してトラフィックをプロキシできるようにし、そのデバイスを足掛かりに内部環境へ容易に横展開できるようにする」と説明した。
Ciscoは、顧客が潜在的な攻撃を検知できるよう、侵害指標(IoC)を公開した。
このテック大手のアドバイザリではソフトウェアパッチについて言及されておらず、特に回避策は特定されていないとしている。ただし、同社はいくつかの緩和策を共有している。
CISAは追加により、CVE-2025-20393を既知の悪用されている脆弱性(KEV)カタログに登録し、連邦機関に対して12月24日までに対処するよう指示した。
野外で確認されているその他の攻撃
脅威インテリジェンス企業GreyNoiseは水曜日、CiscoおよびPalo Alto Networks製品を標的とする別の大規模活動を確認したと報告した。ただし、この活動は脆弱性の悪用ではなく、自動化されたログイン試行で構成されている。
SonicWallも水曜日、ゼロデイ脆弱性の悪用について顧客に警告した。
この欠陥はSMA1000アプライアンスに影響する権限昇格の問題で、CVE-2025-40602として追跡されており、root権限での未認証リモートコード実行のためにCVE-2025-23006と組み合わせて使用されている。
翻訳元: https://www.securityweek.com/china-linked-hackers-exploiting-zero-day-in-cisco-security-gear/
