Cisco IOS/IOS XE/ASA/FTD などの6件の脆弱性が FIX:リモート DoS 攻撃の可能性

Cisco IOS, IOS XE, and Secure Firewall Flaws Allow Remote DoS Attacks

2025/08/15 gbhackers — 2025年8月14日に公開された、Cisco Systems のセキュリティ・アドバイザリで対処されたのは、ネットワークおよびセキュリティに関連する製品ポートフォリオ全体にわたる、Internet Key Exchange version 2 (IKEv2) 機能に存在する、6件の深刻な脆弱性である。このアドバイザリが警告するのは、それらの脆弱性を悪用する未認証のリモート攻撃者が、影響を受けるデバイスにサービス拒否攻撃 (DoS) を仕掛け、システム・クラッシュ/サービス中断などを引き起こす可能性である。

重大な欠陥によりリモート DoS 攻撃が可能

それらの脆弱性 CVE-2025-20224/CVE-2025-20225/CVE-2025-20239/CVE-2025-20252、CVE-2025-20253/CVE-2025-20254 は、Cisco のソフトウェア実装における不適切な IKEv2 パケット処理に起因している。

最も深刻な脆弱性である CVE-2025-20253 は、CVSS ベーススコア 8.6 と評価されており、深刻な影響を与える可能性があることを示している。

さらに、これらの脆弱性には、以下のような複数の攻撃経路が存在し、潜在的な影響を及ぼす可能性がある:

  • 攻撃方法:細工したパケットを脆弱なデバイスに送信する攻撃者は、 IKEv2 プロトコルを悪用する可能性を得る。
  • リソース枯渇:脆弱性の悪用により無限ループが発生し、システム・リソースが枯渇する可能性がある。
  • メモリの問題:攻撃によりメモリ・リークが発生し、システムが不安定になる可能性がある。
  • IOS/IOS XE への影響:Cisco IOS/IOS XE ソフトウェアの場合には、攻撃の形態に応じて、デバイスの即時再起動が強制される可能性がある。
  • ASA/FTD への影響:Cisco Secure Firewall ASA/FTD ソフトウェアには、メモリが部分的に枯渇し、新しい VPN セッションを確立できなくなる可能性がある。復旧のために、手動によるシステム再起動が必要になる場合がある。

これらの脆弱性には、リモートの未認証の攻撃者により悪用される可能性がある。

現時点において、Cisco の PCERT は、公開された悪用事例は確認していないという。ただし、アドバイザリに記載された技術的詳細が、攻撃者により悪用される可能性があると指摘している。

影響がおよぶ製品と検出の方法

これらの脆弱性は、IOS/IOS XE/Secure Firewall Adaptive Security Appliance (ASA)/Secure Firewall Threat Defense (FTD) などの、複数の Cisco 製品ファミリに影響を及ぼすという。ただし、影響範囲は CVE ごとに異なり、4つの製品ラインに影響するものもあれば、ASA/FTD システムのみに影響するものもある。

影響を受ける可能性のある、システムを実行している組織向けに、Cisco は詳細な検出方法を提供している。確認方法は以下の通りである。

  • IOS/IOS XE:show udp | include 500 コマンドで IKE 処理のアクティブ/非アクティブを確認。show crypto map コマンドで、IKEv2 の使用状況を確認。
  • ASA/FTD:show running-config crypto ikev2 | include enable コマンドで、いずれかのインターフェイスでの IKEv2 の有効化/無効化を確認。

なお、これらの脆弱性が影響を及ぼさない製品としては、IOS XR/Meraki/NX-OS/Secure Firewall Management Center (FMC) などがある。したがって、Cisco の広範な製品エコシステム全体への影響は限定的である。

対応策

すでに Cisco は、特定された脆弱性に対処する包括的なソフトウェア・アップデートをリリースしている。したがって、サービス契約を締結しているユーザーに対しては、標準サポート・チャネルを通じてパッチが提供されている。

これらの脆弱性に対する、回避策は存在しない。したがって、ソフトウェア・アップデートが唯一の効果的な緩和策であると、Cisco は強調している。また、ユーザーによる脆弱なリリースの特定と、適切なアップグレード・パスの決定を支援するための、ソフトウェア・チェッカー・ツールも提供されている。

一連の脆弱性の深刻度は高く、また、代替の保護対策が存在しないため、これらのアップデートの優先的な適用が強く推奨される。

サービス契約を締結していないユーザーは、セキュリティ・アドバイザリの証明書を添付して、Cisco のテクニカル・アシスタンス・センターに連絡することで、無料のセキュリティ・アップデートの権利を証明できるパッチを入手できる。

Cisco の IKEv2 機能に存在する脆弱性の原因は、不適切なパケット処理にあります。つまり、受信するデータの扱いに不備があり、攻撃者が細工したパケットを送り込むだけで、システムが誤作動を起こしてしまう点が問題となっています。結果として、CPU やメモリの枯渇や、メモリリークによる不安定化といった影響が生じると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Cisco で検索も、ご参照ください。