Cisco FTD Snort 3 検出エンジンの脆弱性 CVE-2025-20217 が FIX：DoS 攻撃の可能性

Cisco Secure Firewall Snort 3 Detection Engine Vulnerability Enables DoS Attacks

2025/08/15 CyberSecurityNews — 2025年8月14日に Cisco が公表したのは、Secure Firewall Threat Defense (FTD) ソフトウェアに存在する、深刻な脆弱性 CVE-2025-20217 (CVSS：8.6) に関する情報である。この脆弱性を悪用する未認証のリモート攻撃者は、Snort 3 検出エンジンを介して、DoS 攻撃を仕掛けられる。

ネットワーク・トラフィックの脅威分析とフィルタリングを担う、コア・コンポーネントである Snort 3 検出エンジンの、パケット検査機能に存在する CVE-2025-20217 は、トラフィック処理の誤りによる無限ループ (CWE-835) が発生する。

それにより、Cisco Secure FTD ソフトウェアの脆弱なバージョンを実行し、Snort 3 が有効化されているデバイスに深刻な影響が生じることになる。

Cisco のアドバイザリによると、未認証のリモート攻撃者は、影響を受けるデバイスを介して細工されたトラフィックを送信することで、この脆弱性を悪用する可能性を得る。

この細工されたパケットが適切に処理されない場合において、影響を受けるデバイスはトラフィック検査中に無限ループに陥り、サービス拒否状態となる。このインシデントが示唆するのは、この検出エンジンのロジックに存在する根本的な欠陥である。

Snort 3 検出エンジンの脆弱性

この脆弱性が悪用されると、Snort プロセスが無限ループに陥る。したがって、問題を検知したシステム・ウォッチドッグが、Snort プロセスを自動的に再起動するまで、すべてのトラフィック検査が停止する。それにより、一時的に深刻なセキュリティ・ギャップが生じ、その間に悪意のトラフィックが通過する可能性が生じる。

この攻撃の実行は、認証を必要とすることなくリモートから可能であるため、インターネットに接続された Cisco FTD デバイスにとって、きわめて危険な状況が生じる。システム・ウォッチドッグによる再起動で、 Snort プロセスは自動的に回復するが、検査機能が一時的に失われるため、高度な攻撃者が協調攻撃を仕掛ける隙が生じる。

この脆弱性は 、Cisco Secure FTD ソフトウェアの脆弱なリリースの、Snort 3 エンジンが有効化されているケースに影響を及ぼす。したがって、Snort 3 がアクティブでなければ悪用が可能であるため、ユーザー組織は自システムにおける Snort 3 の、稼働／非稼働の状況を確認する必要がある。

なお、Cisco が確認した情報によると、この脆弱性の影響を受けない、複数の製品があるという。具体的には、Cisco Secure Firewall Adaptive Security Appliance (ASA)／Cisco Secure Firewall Management Center (FMC)／オープンソースの Snort 2 と Snort 3 ソフトウェアなどは、この脆弱性の対象外となる。

Cisco は、この問題に対処する回避策は存在しないと述べている。そのため、唯一の対策は、Cisco がリリースしたソフトウェア・アップデートの適用となる。すでに Cisco は、無償のアップデートをリリースし、この脆弱性を修正している。

ここ数ヶ月間において、Secure Firewall Management Center に影響を与える CVE-2025-20265 (CVSS 10.0) や、ASA／FTD 製品における複数の DoS 脆弱性などの脆弱性が、立て続けに公開されている。したがって、Cisco の Firewall／VPN 製品に影響を与えるセキュリティ問題が、この脆弱性により増加することになる。

Cisco の Snort 検出エンジンおよび FTD 製品ラインにおいて、パケット検査やトラフィック処理に関連する複数の DoS 脆弱性が過去に存在したことを、セキュリティ研究者たちが指摘している。

Cisco は、アドバイザリとパッチの迅速な提供で対応しているが、繰り返して発生する問題が浮き彫りにするのは、Cisco のセキュリティ製品を利用する組織にとっての、タイムリーなパッチ管理の重要性となる。

この記事の公開日時点で、Cisco の PSIRT (Product Security Incident Response Team) は、脆弱性 CVE-2025-20217 に関する公開情報や悪用事例は確認されていないと報告している。なお、この脆弱性は、Cisco Technical Assistance Center (TAC) による、サポート・ケースの解決中に発見されている。

この攻撃ベクターは、リモートかつ未認証という性質を持ち、Cisco FTD デバイスは、エンタープライズ・ネットワーク・セキュリティで重要な役割を担っている。したがって、セキュリティ専門家たちがユーザー組織に対して推奨するのは、優先的なパッチの適用となる。

この脆弱性が悪用されると、一時的にトラフィック検査機能が失われるため、攻撃者がネットワークに侵入し、検知されることなく、データを盗み出す可能性が生じる。

Cisco Secure Firewall Threat Defense ソフトウェアを使用しているユーザー組織は、Cisco の Software Checker ツールを用いて、この脆弱性の影響を直ちに評価すべきである。続いて、提供されているセキュリティ・アップデートを適用すれば、この深刻な脆弱性の悪用を阻止できる。

この Cisco Secure Firewall Threat Defense の脆弱性は、Snort 3 検出エンジンのパケット検査ロジックを原因とするものです。細工されたトラフィックを処理する際に、無限ループが発生してしまうという問題が生じます。それにより、一時的にセキュリティ機能が止まり、攻撃者に隙を与える危険があると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Cisco + Firewall で検索も、ご参照ください。