Ciscoは水曜日のアドバイザリで、少なくとも11月下旬以降、メールおよびWebセキュリティ向けの同社ソフトウェアに影響する重大なゼロデイ脆弱性が中国の脅威グループによって積極的に悪用されており、Ciscoの顧客が新たな攻撃の波に直面していると述べた。
Ciscoは、12月10日に攻撃を把握したとした。この欠陥CVE-2025-20393はCVSSスコア10で、Cisco Secure Email GatewayおよびCisco Secure Email and Web Manager向けのCisco AsyncOSソフトウェアに影響する不適切な入力検証の脆弱性であり、攻撃者が無制限の権限でコマンドを実行し、侵害されたデバイスに永続的なバックドアを埋め込むことを可能にする。
この脆弱性に対するパッチはなく、Ciscoはいつ提供されるかについて明言を避けた。Ciscoは、侵害されたネットワークで「非標準の構成」が確認されており、具体的には公開されたスパム隔離機能が設定されている顧客システムだと述べた。
Cisco Talosの研究者は、攻撃をUAT-9686として追跡している中国の高度持続的脅威(APT)グループによるものと結論づけた。同グループは、APT41やUNC5174など他の中国の国家支援型脅威グループと一致するツールやインフラを使用している。
Ciscoは、影響を受けた顧客数についての質問への回答を控えた。同社は顧客に対し、アドバイザリのガイダンスに従って露出状況を確認し、影響を受けたシステムの隔離や再構築など、リスクを軽減するための措置を講じるよう促した。
Ciscoによると、攻撃者が脆弱性を悪用するには、スパム隔離機能が有効で、かつ公開されている必要があるが、この機能はデフォルトでは有効になっていない。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は木曜日、このゼロデイを既知の悪用されている脆弱性カタログに追加した。
Rapid7で脆弱性インテリジェンス担当ディレクターを務めるDouglas McKee氏はCyberScoopに対し、「非標準の構成を強調することは、ユーザーを責めることと同じではない。防御側が悪用の可能性を評価するのに役立つ、関連する技術的な詳細だ」と語った。
同氏は「根本的な問題は変わらない」と付け加えた。「ソフトウェアは特定の条件下で破綻するのであり、それを修正するのはベンダーの責任だ。セキュアな設計とは、たとえ難しくてもエッジケースを考慮し、悪用された際に責任を転嫁しないことを意味する。」
Trend MicroのZero Day Initiativeで脅威認知の責任者を務めるDustin Childs氏は、欠陥を引き起こす非標準の構成は、攻撃が特定のユーザーを狙っていることを示していると述べた。しかし同氏は、スパム隔離機能を有効にし、インターネットに公開しているCisco顧客がどれほどいるのかは不明だと付け加えた。
中国の脅威グループは一貫してCiscoの脆弱性を悪用してきた。今回の最新の攻撃は、積極的に悪用されているCiscoファイアウォールに影響するゼロデイ脆弱性をめぐる広範な攻撃の連続に続くものだ。
連邦のサイバー当局は9月、5月に複数の政府機関に影響を及ぼしたこれらの攻撃について緊急指令を発出した。CISAとCiscoは当時、攻撃への初動対応から悪意ある活動の公表、ゼロデイのパッチ提供、緊急指令の発出までに4カ月待った理由を十分に説明しなかった。
Ciscoの広報担当者は、最近の攻撃が今年初めの攻撃と関連している証拠はないと述べた。Ciscoは以前の攻撃について、2024年初頭にCiscoデバイスを標的としたキャンペーンの背後にいるのと同じ脅威グループによるものだとし、これを「ArcaneDoor」と名付けた。
翻訳元: https://cyberscoop.com/cisco-zero-day-attacks-china-apt/
