(画像クレジット:Pixabay)
- 50,000台のCiscoファイアウォールが、CVE-2025-20333および20362のRCE脆弱性により積極的に悪用される危険性あり
- CiscoおよびCISAが即時のパッチ適用を推奨、影響を受けるASA/FTDデバイスには回避策なし
- Shadowserverが48,800の未修正IPを発見、影響が大きい国は米国、英国、ドイツ
インターネットに接続された約50,000台のCiscoファイアウォールが、脅威アクターに認証なしでリモートコード実行(RCE)および侵害されたデバイスの完全な制御を許す、2つの積極的に悪用されている脆弱性にさらされています。
Ciscoは最近、Adaptive Security Appliance(ASA)およびFirewall Threat Defense(FTD)ソリューションに影響を与える2つのバグ、CVE-2025-20333およびCVE-2025-20362のパッチを公開しました。
前者は9.9/10(クリティカル)の深刻度スコアを持つバッファオーバーフローの脆弱性、後者は6.5/10(中程度)の深刻度スコアを持つ認可不足の脆弱性です。
米国が最も影響を受ける
セキュリティアドバイザリで、Ciscoは顧客にできるだけ早くパッチを適用するよう促し、「実際に悪用が試みられている」ことを認識していると述べています。
「Ciscoは引き続き、顧客がこの脆弱性を修正するために修正版ソフトウェアへのアップグレードを強く推奨します」と述べています。
同時に、非営利のグローバルサイバーセキュリティデータ組織であるThe Shadowserver Foundationは、X上で9月30日時点でほぼ50,000の公開エンドポイントが存在すると共有しました:
「注意!Cisco ASA/FTD CVE-2025-20333 & CVE-2025-20362のインシデント:現在、Vulnerable HTTPレポートで毎日脆弱なCisco ASA/FTDインスタンスを共有しています。48.8Kの未修正IPが2025-09-29に発見されました。最も影響を受けているのは米国です」と投稿しています。記事執筆時点で、米国には19,610の公開インスタンス、次いで英国が2,834、ドイツが2,392でした。
現時点で脅威を緩和する最善の方法はパッチを適用することであり、特に回避策が存在しないため重要です。BleepingComputerは、一時的な強化策としてVPNウェブインターフェースの公開制限や、不審なVPNログインや細工されたHTTPリクエストのログ・監視強化が挙げられると報じています。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は最近、政府機関に対しこの2つの脆弱性への対応を促しました。これらが積極的に悪用されていると主張しています。
2025年9月25日に発表された緊急指令25-03によると、CISAはCisco Adaptive AppliancesおよびFirepowerファイアウォールデバイスを標的とした「広範な」攻撃キャンペーンがあると述べています。
