TokyoBlackHatNews

esecurityplanet.com 5分で読了

Cisco Secure Email ApplianceのRCEが攻撃で悪用

Ciscoは、同社のSecure Email GatewayおよびSecure Email and Web Managerアプライアンスに影響するリモートコード実行(RCE)の脆弱性が、実際の攻撃で積極的に悪用されていることを確認しました。

同社は、悪用されているこの脆弱性に対するパッチをすでにリリースしています。

この攻撃は「脅威アクターが、影響を受けるアプライアンスの基盤となるオペレーティングシステム上で、root権限で任意のコマンドを実行できるようにする」と、Ciscoはアドバイザリで述べています

CiscoのRCEの仕組み

CVE-2025-20393として追跡されているこの問題は、Cisco AsyncOS SoftwareのSpam Quarantine機能における入力検証の不備に起因します。 

実際には、このアプライアンスが攻撃者に制御されたHTTP入力を適切にサニタイズできず、細工されたリクエストがリモートコマンド実行につながる形で処理されてしまいます。 

CiscoはCVSSスコアを10.0と評価しており、この脆弱性がネットワーク越しにリモート到達可能で、認証を必要とせず、影響を受けるシステムの完全な侵害につながり得ることを示しています。

攻撃者は、Spam Quarantine機能に細工したHTTPリクエストを送信することでこの欠陥を悪用し、認証なしでroot権限のコマンド実行を引き起こす可能性があります。 

rootレベルのアクセスにより、この脆弱性は特に危険となり、攻撃者にアプライアンスの完全な制御と、永続化およびより深いネットワークアクセスの足掛かりを与えます。 

Ciscoは、Spam Quarantineが有効で、かつポート6025でインターネットに公開されている場合にリスクが最も高いと述べています。これは推奨されないものの、依然として一般的な構成です。

同社は2025年12月10日に積極的な悪用を把握し、証拠から、攻撃は早ければ2025年11月に開始された可能性があることが示唆されています。 

Ciscoの研究者は、APT41やUNC5174などのグループとのツールの重複に基づき、中程度の確度で、このキャンペーンをUAT-9686(UNC-9686)という中国に関連する脅威アクターによるものと帰属しました。 

侵害後の活動は、諜報目的に基づく目標と整合しているように見えます。 

攻撃者は、永続的なアクセスを維持するためにAquaShellと呼ばれるPythonベースのバックドアを展開します。 

また、内部でのピボットのためにAquaTunnelChiselといったトンネリングツールも使用します。フォレンジック上の可視性を下げ、インシデント対応を遅らせるために、AquaPurgeと呼ばれるログ消去ツールを展開します。 

米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、2025年12月17日にこの脆弱性を、既知の悪用されている脆弱性(KEV)カタログに追加しました。

攻撃対象領域の縮小

積極的な悪用が確認されたことを受け、Cisco Secure Email GatewayまたはSecure Email and Web Managerを運用している組織は、直ちに封じ込めとパッチ適用を最優先すべきです。 

これらのアプライアンスは高い信頼が置かれる位置にあるため、たとえ1台でも侵害されれば、永続化、ログ改ざん、そしてより深いネットワークアクセスの起点になり得ます。 

  • Cisco Secure Email GatewayおよびSecure Email and Web Managerを、修正済みリリースへ直ちにアップグレードする。
  • Spam Quarantineへのインターネットアクセスを削除し、管理アクセスは厳格なIP許可リストを用いたVPN/ジャンプホストに制限する。
  • メール用および管理用インターフェースをセグメント化し、不要なサービス(例:HTTP/FTP)を無効化して攻撃対象領域を減らす。
  • 強力な認証と最小権限の管理を、SAML/LDAPおよび厳密に制御された管理者ロールを用いて徹底する。
  • ログを外部へ転送し、監視して侵害の兆候(永続化の仕組み、トンネリング活動、ログ改ざんを含む)を検知する。
  • 送信(egress)フィルタリングを適用し、インシデント対応プレイブック(隔離、再構築、認証情報のローテーションを含む)をアプライアンス侵害に備えて訓練する。

これらの手順を総合的に実施することで、露出を減らし、侵害をより早期に検知し、メールゲートウェイが狙われた場合の影響範囲(blast radius)を抑えるのに役立ちます。 

メールゲートウェイは高価値ターゲット

Ciscoが積極的な悪用を確認したことは、インターネットに公開されたセキュリティアプライアンスが高価値ターゲットであり、重大な単一障害点であることを明確に示す注意喚起です。 

組織は、メールゲートウェイの侵害を、封じ込めなければ永続化、可視性の低下、そしてより深いネットワークアクセスへ迅速につながり得る「正面玄関」からの脅威として扱うべきです。

パッチ適用が最優先ですが、不要なインターネットアクセスの削除、管理アクセスの厳格化、外部監視によるログの検証によって露出も減らすべきです。

暗黙の信頼を減らし、影響範囲(blast radius)を制限する必要性が同様にあるため、多くの組織がゼロトラストソリューションを採用しています。 

翻訳元: https://www.esecurityplanet.com/threats/cisco-secure-email-appliance-rce-exploited-in-attacks/

ソース: esecurityplanet.com
#AsyncOS #CISA KEV #Cisco #CVE-2025-20393 #Secure Email Appliance #Spam Quarantine #ゼロデイ攻撃 #パッチ適用 #リモートコード実行(RCE) #中国系脅威アクター

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布