- CISAが2つの重大なCisco脆弱性の悪用が進行中であると警告
- 攻撃者はROMを改変し、再起動後も持続化;国家支援グループArcaneDoorと関連
- 各機関は2025年10月2日までにCisco機器のパッチ適用、分析、報告が必須
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、政府機関に対し、2つの深刻なCiscoのセキュリティ脆弱性への対応を強く促しており、脅威アクターがこれらの脆弱性を積極的に悪用していると警告しています。
2025年9月25日に公開された緊急指令 25-03によると、CISAはCisco Adaptive AppliancesおよびFirepowerファイアウォール機器を標的とした「広範囲な」攻撃キャンペーンが進行中であると述べています。
このキャンペーンでは、攻撃者がリードオンリーメモリ(ROM)を改変し、再起動やアップグレード後も持続化を実現しています。この持続化のために、脅威アクターはCVE-2025-20333(リモートコード実行)およびCVE-2025-20362(権限昇格)の2つの脆弱性を利用しています。後者は中程度(6.3/10)の評価ですが、前者は重大(9.9/10)とされています。
国家的活動
さらに悪いことに、Ciscoはこれら2つの問題がArcaneDoor(Microsoftによる呼称ではStorm-1849)として追跡されているグループによって悪用されていると考えています。
サイバーセキュリティ業界では、ArcaneDoorは国家支援の脅威アクターと見なされていますが、どの国に属しているかはまだ判明していません。
「Ciscoは、このキャンペーンが2024年初頭に特定されたArcaneDoorの活動と関連しており、この脅威アクターが少なくとも2024年にはASA ROMの改変に成功していた能力を示していると評価しています」とCISAは報告書で述べています。
現在、連邦機関は迅速に対応し、自らのインフラを守らなければ、攻撃を受けるリスクがあります。
これには、すべてのCisco ASAおよびFirepower機器の棚卸し、CISAのコアダンプおよびハント手順を用いたフォレンジック分析、侵害された機器やサポート終了機器の切断、そしてアップデートの適用が含まれます。その後、各機関は調査結果と棚卸し情報を2025年10月2日までにCISAへ報告することが命じられています。
その間、両脆弱性はCISAの既知悪用脆弱性(KEV)カタログに追加され、連邦機関には3週間(10月16日まで)のパッチ適用または脆弱なツールの使用停止の期限が与えられています。
CISAはArcaneDoorが誰を標的にしているかは明らかにしていませんが、一般的に政府や公共機関以外にも、CiscoのASAおよびFirepower機器は企業や法人、マネージドセキュリティサービスプロバイダー、教育・研究機関などでも広く使用されています。
