Ciscoは、認証されていない攻撃者が任意のシェルコマンドを注入し、高い権限のコマンドを実行できる可能性がある、Secure Firewall Management Center Softwareに影響を与える最大深刻度の脆弱性を公開しました。この件について、同社はセキュリティアドバイザリで木曜日に発表しました。
エンタープライズネットワーキングベンダーであるCiscoは、この脆弱性(CVE-2025-20265)を社内のセキュリティテスト中に発見したと述べています。Ciscoは、この欠陥に対するパッチを、他のCisco Secureテクノロジーにおける29件の脆弱性とともにリリースしました。
「現時点で、Ciscoの製品セキュリティインシデント対応チーム(PSIRT)は、この脆弱性の悪用や悪意ある使用を確認していません。お客様にはアップデートリリースへのアップグレードを強く推奨します」とCiscoの広報担当者はCyberScoopに語りました。「即時のアップグレードが難しい場合は、アドバイザリに記載された緩和策を実施してください。」
この公開は、広く使用されているエッジテクノロジーにおける新たな脆弱性を示しています。これは攻撃者にとって一般的かつ持続的な侵入ポイントです。VPN、ファイアウォール、ルーターなどのエッジテクノロジーは、2024年に最も頻繁に悪用された脆弱性の上位4件を抱えていたと、今年初めに発表されたMandiantのM-Trendsレポートは伝えています。
「『リモートの認証されていないコマンドインジェクション』という言葉を見たときは、注意が必要です」と、DarktraceのセキュリティおよびAI戦略担当副社長Nathaniel Jones氏はCyberScoopに語りました。「これらはまさに国家支援の攻撃者、例えばSalt Typhoonのようなグループにとって非常に魅力的で、そうしたグループは迅速に悪用に動く可能性が高い脆弱性です。」
Darktraceは現時点で実際の悪用や、概念実証(PoC)エクスプロイトを確認していません。「しかし、この種の脆弱性は時間との戦いです。月曜日にはPoCが公開されていると私は予想します」とJones氏は述べました。
CVSSスコア10のこのリモートコード実行脆弱性は、認証フェーズにおけるユーザー入力の不適切な処理に関係しています。「この脆弱性が悪用されるには、Cisco Secure FMC SoftwareがWebベースの管理インターフェース、SSH(セキュアシェル)管理、またはその両方のためにRADIUS(リモート認証ダイヤルインユーザーサービス)認証に設定されている必要があります」とCiscoはアドバイザリで述べています。
この脆弱性は、RADIUS認証が有効になっているCisco Secure FMC Softwareバージョン7.0.7および7.7.0に影響します。このプラットフォームは、顧客がファイアウォール制御の設定、監視、管理、更新を行うことを可能にします。
「この脆弱性は、認証情報も近接性も不要で、完全な権限を取得できることを意味します」とJones氏は付け加えました。「不適切な入力処理により、攻撃者は本物のパケットに悪意あるペイロードを仕込み、意図されたコマンドコンテキストを抜け出して任意のOSコマンドを実行できる可能性があります。」
ベンダーによると、この脆弱性に対する回避策はなく、Cisco Secure Firewall Adaptive Security Appliance SoftwareやCisco Secure Firewall Threat Defense Softwareには影響しないことを確認しています。
Jones氏は、この最大深刻度の脆弱性がエッジデバイスとその開発ライフサイクルのセキュリティ態勢の脆弱さを際立たせていると述べました。「これは、なぜ攻撃されるのかを改めて示しています。なぜなら、これらはネットワークの境界に位置し、攻撃者が内部に侵入せずともアクセスできることが多く、高い権限と広範な可視性を持ち、ゲートキーパーが複数のセキュリティ層を一度に回避できるからです」と彼は述べました。
Ciscoは顧客に対し、Cisco Software Checkerを実行してCVE-2025-20265および他の脆弱性への曝露状況を確認するよう推奨しています。このツールは特定のソフトウェアリリースに影響を与える脆弱性を特定します。
翻訳元: https://cyberscoop.com/cisco-vulnerability-secure-firewall-management-center/