約48,800台のCisco Adaptive Security Appliance(ASA)およびFirewall Threat Defense(FTD)アプライアンスが、ハッカーによって積極的に悪用されている2つの脆弱性にさらされています。
これらの脆弱性はCVE-2025-20333およびCVE-2025-20362として追跡されており、任意のコード実行やVPNアクセスに関連する制限付きURLエンドポイントへのアクセスを可能にします。どちらのセキュリティ問題も、認証なしでリモートから悪用可能です。
9月25日、Ciscoはこれらの問題がパッチが提供される前から攻撃で積極的に悪用されていると警告しました。
どちらの脆弱性にもワークアラウンドは存在しませんが、一時的な強化策としては、VPNウェブインターフェースの公開範囲を制限したり、不審なVPNログインや細工されたHTTPリクエストのログ記録・監視を強化することが挙げられます。
本日、脅威監視サービスThe Shadowserver Foundationは、インターネット上に公開されているASAおよびFTDインスタンス48,800台が、依然としてCVE-2025-20333およびCVE-2025-20362の脆弱性を抱えていることを報告しました。
これらのIPの大部分はアメリカ合衆国(19,200以上のエンドポイント)にあり、次いでイギリス(2,800)、日本(2,300)、ドイツ(2,200)、ロシア(2,100)、カナダ(1,500)、デンマーク(1,200)となっています。
出典:The Shadowserver Foundation
これらの数字は昨日、9月29日時点のものであり、継続中の悪用活動や過去の警告に対して適切な対応がなされていないことを示しています。
特筆すべきは、Greynoiseが9月4日に、8月下旬から発生していたCisco ASAデバイスを標的とした不審なスキャンについて警告していたことです。これらのスキャンの80%は、対象製品に未公開の脆弱性が今後発見される兆候です。
これら2つの脆弱性に関連するリスクは非常に深刻であり、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は緊急指令を発出し、すべての連邦民間行政機関(FCEB)に対し、ネットワーク上の侵害されたCisco ASAおよびFTDインスタンスを24時間以内に特定し、今後も運用を継続するものはアップグレードするよう指示しました。
CISAはまた、サポート終了(EoS)を迎えるASAデバイスについては、本日(今月末)までに連邦組織のネットワークから切断するよう勧告しています。
英国国家サイバーセキュリティセンター(NCSC)のレポートでは、攻撃の詳細がさらに明らかにされており、ハッカーが「Line Viper」と呼ばれるシェルコードローダーマルウェアを展開し、続いて「RayInitiator」というGRUBブートキットを使用していたことが指摘されています。
積極的な悪用が1週間以上続いていることから、影響を受ける可能性のあるシステムの管理者は、できるだけ早くCiscoのCVE-2025-20333およびCVE-2025-20362に関する推奨事項[1, 2]を適用するよう強く求められています。
