Ciscoは木曜日、ArcaneDoorスパイ活動キャンペーンに関連する攻撃でゼロデイとして悪用された2つのファイアウォール脆弱性に対し、緊急パッチをリリースしました。
CVE-2025-20333(CVSSスコア9.9)およびCVE-2025-20362(CVSSスコア6.5)として追跡されているこれらのバグは、Cisco Secure Firewall Adaptive Security Appliance(ASA)およびSecure Firewall Threat Defense(FTD)ソフトウェアのVPNウェブサーバーに影響を与えます。
Ciscoによると、これらの問題は、HTTP(S)リクエストにおけるユーザー入力が適切に検証されていないことに起因し、リモート攻撃者が細工したリクエストを送信してroot権限で任意のコードを実行したり、認証なしで制限されたURLにアクセスしたりできるようになります。
攻撃者は重大度が高い脆弱性を悪用するには有効なVPNユーザー認証情報が必要ですが、中程度の脆弱性は認証なしで悪用可能です。
Ciscoが新たに発表した警告によると、両脆弱性は2025年5月、VPNウェブサービスが有効化されたASA 5500-Xシリーズ機器が侵害された政府機関を標的とする攻撃の調査支援を依頼された際に発見されました。
昨年指摘されたArcaneDoorスパイ活動キャンペーンに関連付けられたこれらの攻撃の一環として、ゼロデイ脆弱性によりハッカーはマルウェアの展開、コマンドの実行、おそらく侵害された機器からのデータの持ち出しが可能となりました。
「攻撃者は複数のゼロデイ脆弱性を悪用し、ログの無効化、CLIコマンドの傍受、診断分析を妨げるための意図的な機器クラッシュなど、高度な回避技術を用いていたことが観測されました」とCiscoは説明しています。
サイバーセキュリティ業界全体ではまだ確認されていませんが、ArcaneDoorキャンペーンの背後にいるハッカーが中国に拠点を置いていることを示唆する証拠もあります。
広告。スクロールして続きが読めます。
脅威アクターは、再起動やソフトウェアアップデート後も持続性を確保するため、機器のリードオンリーメモリ(ROM)を改ざんしていたことが確認されました。これらの改ざんは、侵害された機器がSecure BootおよびTrust Anchorをサポートしていないため可能でした。
Ciscoによると、ハッカーはすでに販売終了となっている5512-X、5515-X、5585-X機器、および2025年9月30日に販売終了予定の5525-X、5545-X、5555-Xモデルの侵害に成功しました。
脆弱なASAソフトウェアはASA 5505-X、5506H-X、5506W-X、5508-X、5516-X機器およびすべてのFirepowerおよびSecure Firewallモデルで動作しますが、これらの製品はSecure BootおよびTrust Anchorをサポートしており、Ciscoはこれらの機器が侵害された事例を確認していません。
ユーザーは、修正済みリリースが自動的にROMをチェックし、攻撃者の持続化メカニズムを削除するため、できるだけ早く機器をアップデートすることが推奨されています。また、アップデート後はすべてのパスワード、証明書、鍵のローテーションも推奨されています。
「Ciscoファイアウォール機器で侵害が疑われる、または確認された場合、機器のすべての設定要素は信頼できないものと見なすべきです」とCiscoは述べています。同社はまた、ArcaneDoorキャンペーンに関連する潜在的な侵害を特定するための検出ガイドも公開しました。
英国国家サイバーセキュリティセンター(NCSC)は、観測された攻撃で特定されたマルウェアの技術分析(PDF)を公開し、すでに販売終了または間もなく販売終了となる脆弱なASA 5500-Xシリーズモデルの早急な交換を推奨しています。
「NCSCは、影響を受ける製品を使用しているネットワーク防御担当者に対し、この活動の緊急調査を呼びかけており、検出および緩和を支援するため、RayInitiatorおよびLINE VIPERと名付けられたマルウェアコンポーネントの新たな分析を公開しました」とNCSCは述べています。
木曜日、米国サイバーセキュリティ庁(CISA)はCVE-2025-20333およびCVE-2025-20362の両方を既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に対し1日以内の対応を求めました。
CISAはまた、連邦機関が自組織内のすべてのCisco ASAおよびFirepower機器を特定し、メモリファイルを収集して9月26日中にCISAへ送付し、フォレンジック分析を受けることを義務付ける緊急指令ED 25-03を発出しました。
「CISAは、すべてのCisco ASAおよびFirepower機器の把握、フォレンジックの収集、CISA提供の手順とツールによる侵害評価、サポート終了機器の切断、継続利用機器のアップグレードを指示しています。これらの措置は、即時リスクへの対応、侵害評価、進行中の脅威アクターキャンペーンの分析に資するものです」とCISAは述べています。
同日、CiscoはCVE-2025-20363(CVSSスコア9.0)向けのパッチもリリースしました。このリモートコード実行バグは、ASAおよびFTDソフトウェアを実行する機器では認証なしで悪用可能ですが、IOS、IOS XE、IOS XRソフトウェアを実行する製品では認証が必要です。
「攻撃者は、システムに関する追加情報を取得し、エクスプロイト緩和策を回避するか、またはその両方を行った後、影響を受ける機器の対象ウェブサービスに細工したHTTPリクエストを送信することで、この脆弱性を悪用できる可能性があります。エクスプロイトが成功すると、攻撃者はroot権限で任意のコードを実行でき、影響を受ける機器が完全に侵害される恐れがあります」と同社は述べています。
CVE-2025-20363は実際の攻撃で悪用された形跡はありませんが、Ciscoは観測された侵害の詳細を記した警告の中でこの脆弱性についても言及しています。
関連記事: Cisco、ルーターおよびスイッチに影響するゼロデイ脆弱性を修正
関連記事: Cisco、高深刻度のIOS XR脆弱性を修正
関連記事: 中国のハッカー、ステルス性の高いBrickStormマルウェアで約400日間ネットワークに潜伏
関連記事: トレーニングと行動のギャップを埋める
翻訳元: https://www.securityweek.com/cisco-firewall-zero-days-exploited-in-china-linked-arcanedoor-attacks/
