- Cisco、Secure Emailアプライアンスのゼロデイ(CVE‑2025‑20393)が中国関連の攻撃者に悪用されていることを確認
- 攻撃者は永続化のため、Aquashellバックドア、トンネリングツール、ログ消去ユーティリティを展開
- CISAが当該欠陥をKEVに追加;各機関は12月24日までに修正または使用停止が必要
中国関連の脅威アクターが、複数のCiscoメールアプライアンスに存在するゼロデイ脆弱性を悪用し、基盤となるシステムへのアクセスを獲得して永続化を確立している。
Ciscoはブログ投稿とセキュリティアドバイザリでこのニュースを確認し、ユーザーに対して提示された推奨事項を適用し、ネットワークを強化するよう呼びかけた。
発表の中でCiscoは、12月10日にこの活動を最初に検知し、少なくとも2025年11月下旬には開始していたと判断したと述べた。このキャンペーンでは、UAT-9686として追跡されている脅威アクターが、Cisco Secure Email Gateway向けCisco AsyncOS Software、およびCisco Secure Email and Web Managerのバグを悪用してシステムレベルのコマンドを実行し、Aquashellと呼ばれる永続的なPythonベースのバックドアを展開した。
2つのグループ
この脆弱性は現在CVE-2025-20393として追跡されており、深刻度スコアは10/10(クリティカル)と評価された。
このグループはまた、AquaTunnel(リバースSSHトンネル)、chisel(別のトンネリングツール)、およびAquaPurge(ログ消去ユーティリティ)を展開している様子も確認された。
使用されたツールとインフラを踏まえ、Ciscoは攻撃が少なくとも2つのグループ(APT41およびUNC5174として追跡)によって実行されているとみている。いずれも非常に活発で危険性が高く、正規のクラウドサービスを悪用し、VPNやファイアウォールなどを侵害しつつ、主としてサイバー諜報活動に従事している。
同時に、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、実際に悪用が確認されているとして、これを既知の悪用されている脆弱性(KEV)カタログに追加した。連邦政府の民間行政部門(FCEB)機関は、12月24日までに提供された修正を適用するか、脆弱な製品の使用を完全に停止しなければならない。
アドバイザリでCiscoは、顧客はインターネットに公開されているデバイスを安全な構成に復元すべきだと述べた。それができない場合は、侵害されているかどうかを確認するためにCiscoに連絡すべきだとしている。
「侵害が確認された場合、現時点では、アプライアンスから脅威アクターの永続化メカニズムを根絶するための唯一の現実的な選択肢は、アプライアンスを再構築することです」とCiscoは述べた。「さらにCiscoは、アプライアンスへのアクセスを制限し、ポートが安全でないネットワークに公開されないよう、堅牢なアクセス制御メカニズムを実装することを強く推奨します。」
