Cisco AnyConnect VPN Server Vulnerability Allows Attackers to Trigger DoS
2025/04/03 gbhackers — Cisco が明らかにしたのは、Meraki MX および Z シリーズ デバイス用の AnyConnect VPN サーバに存在する、深刻な脆弱性に関する情報である。この脆弱性を悪用する認証済の攻撃者は、サービス拒否 (DoS) 状態をトリガーできるようになる。この脆弱性 CVE-2025-20212 は、SSL VPN セッションの確立中の初期化されていない変数に起因し、エンタープライズ・ネットワークにおける、20 種類を超えるハードウェア・モデルに影響を及ぼす。
脆弱性の概要
ただし、このバグを悪用する前提としては、有効な VPN 認証情報が必要となる。セッションのセットアップ中に悪意のアトリビュートを作成する攻撃者は、VPN サービスを強制的に再起動させ、アクティブな SSL VPN 接続の中断を引き起こせる。
さらに、この攻撃が継続すると、新しい VPN セッションが完全にブロックされる可能性があるが、悪意のトラフィックが停止すると、サービスは自動的に再開されるという。
影響を受ける製品
| MX Series | Z Series |
| MX64, MX64W | Z3, Z3C |
| MX65, MX65W | Z4, Z4C |
| MX67, MX67C, MX67W | |
| MX68, MX68CW, MX68W | |
| MX75, MX84, MX85 | |
| MX95, MX100, MX105 | |
| MX250, MX400, MX450 | |
| MX600, vMX |
緩和手順
- AnyConnect VPN ステータスの確認:
Dashboard > Security & SD-WAN (MX) or Teleworker Gateway (Z Series) > Client VPN > AnyConnect Settings.
コンフィグレーションが無効化されると脆弱性は消える。
- ファームウェアの更新:
MX/Z シリーズ: 修正バージョンへと移行する
例:18.1 → 18.107.12/19.1 → 19.1.4
MX400/MX600 シリーズ:ハードウェアの交換もしくは、脆弱なデバイスの隔離が必要
- セッションの監視:
繰り返される VPN の再接続や、原因不明のサービス再起動などに注意
技術分析
- CWE-457:SSL VPN セッション処理における初期化されていない変数
- 攻撃ベクター:Network-based (AV:N) with low complexity (AC:L)
- 影響:Availability risk (A:H) but no data compromise (C:N/I:N).
修正されたリリース
| Firmware Branch | First Fixed Version |
| 18.1 | 18.107.12 |
| 18.2 | 18.211.4 |
| 19.1 | 19.1.4 |
Cisco は、この問題には回避策が存在しないと述べている。唯一の解決策は、修正されたリリースへのアップグレードとなる。
管理者に対して強く推奨されるのは、デプロイメントを注意深く監視し、影響を受ける Meraki デバイスを速やかにアップグレードし、安全で信頼性の高い VPN 機能を継続的に確保することだ。詳細とファームウェアのベスト・プラクティスについては、Cisco の公式アドバイザリを参照してほしい。
リモートワークが常態化する中で、VPN は企業ネットワークの生命線です。その VPN に脆弱性が存在することは、企業全体の業務継続性に直結するリスクとなります。この脆弱性 CVE-2025-20212 には回避策が存在しないとのことですので、ご利用のチームは、アップグレードをご検討下さい。よろしければ、以下の関連記事も、Cisco で検索/VPN で検索と併せてご参照ください。
2025/02/24:VPNの正しい使い方:安全なリモートワークのために
2025/02/08:VPN デバイスを狙うブルートフォース・キャンペーン
2025/02/01:一般的なユーザー向け Top VPN の選び方
IoT OT Security News 
You must be logged in to post a comment.