TokyoBlackHatNews

csoonline.com 5分で読了

Cisco、Secure Email Gateway製品の7週間前から存在するゼロデイ脆弱性をようやく修正

AsyncOSソフトウェアに対する攻撃の背後には中国のハッカーがいると同社は述べており、これによりアプライアンスの完全な乗っ取りが可能になる。

遅くともやらないよりはましだ。Ciscoは今週、同社のメールセキュリティ/管理ゲートウェイに存在する「重大」なゼロデイ脆弱性を修正した。この問題は12月以降、顧客の頭上にぶら下がったままだった。

CVE-2025-20393として追跡されているこの脆弱性は、物理または仮想のSecure Email Gateway(SEG)およびSecure Email and Web Manager(SEWM)製品上で動作するCiscoのAsyncOSソフトウェアに影響する。

この問題は深刻で、Spam Quarantine機能が有効でインターネットに公開されている場合、攻撃者がroot 権限でアプライアンスを乗っ取ることが可能になる。その結果、比較的まれなCVSSの最大深刻度スコア10を獲得し、「重大(critical)」と評価された。

Ciscoは同社のアドバイザリで次のように述べた。「この脆弱性は、Spam Quarantine機能によるHTTPリクエストの検証が不十分であることに起因します。攻撃者は、影響を受けるデバイスに細工したHTTPリクエストを送信することで、この脆弱性を悪用する可能性があります。」

残念ながら、この脆弱性は、Ciscoが顧客サポート案件の解決中に12月10日に把握したと述べているにもかかわらず、すでに実環境で悪用されていた。これを受けて同社は1週間後の12月17日にアドバイザリを出したが、欠陥に対処するパッチは提供しなかった。

同日に公開されたCiscoのTalos脅威インテリジェンス部門による分析によれば、悪用は「少なくとも」11月下旬まで遡って検出されており、顧客がこの問題を知った時点で既に数週間が経過していたことになる。しかも一時的な回避策は不可能だった。

「Talosは、中程度の確信をもって、この活動が中国に関連する脅威アクターによって実施されていると評価しており、当社ではこれをUAT-9686として追跡しています。この活動の一環として、UAT-9686は『AquaShell』として追跡しているカスタムの永続化メカニズムを展開し、リバーストンネリングやログ消去を目的とした追加ツールも併用します」とCisco Talosは述べた。

今週、最初の公的な警告から1か月以上、最初の悪用が検出されてから7週間が経過した後、Ciscoはこの脆弱性を修正するAsyncOSパッチを公開した。

遅延は問題なのか?

この悪用は、Spam Quarantineサービスを公開ポートで露出させているSecure Email GatewayまたはSecure Email and Web Managerを運用している顧客の一部にのみ影響する。

Ciscoによれば、この機能はデフォルトでは有効になっておらず、また「これら製品の導入ガイドでは、この機能をインターネットに直接公開することを求めていない」という。つまり、この機能を有効化している顧客は例外であるかのように聞こえる。

それはおそらく事実だろう――この種のサービスを公開ポート経由で露出させるのはベストプラクティスに反する。しかし、Ciscoのユーザーガイドで言及されているユースケースの1つは、リモートユーザーが隔離されたスパムを自分で確認できるようにすることだ。もちろん、この理由で有効化している組織がどれだけあるかは不明である。

繰り返すと、Ciscoは、脆弱な顧客とは、Spam Quarantineが有効でかつインターネットに公開され到達可能な状態のCisco AsyncOSソフトウェアを実行している顧客だと述べている。回避策が存在しないことを踏まえると、単に公開インターフェース(デフォルトではポート6025、またはWebポータル用の82/83)経由のアクセスを無効にするだけでは、それ単独では不十分であることを示唆している。

しかし、仮にそれで十分だったとしても、攻撃者がポートを閉じるの数週間にすでに脆弱性を悪用し、永続化を獲得していた可能性を無視している。すべてのリスクを排除するための最善の選択肢は、常にパッチ適用である。

パッチ適用の助言

Cisco Secure Email Gateway(ESG)のv14.2以前の顧客はv15.0.5-016へアップグレードすべきである。v15.0はv15.0.5-016へ、v15.5はv15.5.4-012へ、v16.0はv16.0.4-016へアップグレードすべきだ。

Secure Email and Web Manager(SEWM)のv15.0以前の顧客はv15.0.2-007へアップグレードすべきである。v15.5の顧客はv5.5.4-007へ、v16.0の顧客はv16.0.4-010へアップグレードすべきだ。

Ciscoは、このパッチが攻撃による永続化メカニズムも除去すると述べたが、「アプライアンスが侵害されたかどうかを明示的に確認したい顧客は、Cisco Technical Assistance Center(TAC)にケースを起票できます」とも述べている。

この記事は元々NetworkWorldに掲載されたものです。

翻訳元: https://www.csoonline.com/article/4118159/cisco-finally-patches-seven-week-old-zero-day-flaw-in-secure-email-gateway-products-2.html

ソース: csoonline.com
#AsyncOS #Cisco #CVE-2025-20393 #root権限奪取 #Secure Email Gateway #スパム隔離機能 #セキュリティパッチ #ゼロデイ脆弱性 #リモートコード実行 #中国系ハッカー(UAT-9686)

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く