CISA 警告：Cisco ASA／Firepower の３つの脆弱性に対する緊急指令

CISA orders agencies to patch Cisco flaws exploited in zero-day attacks

2025/09/25 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) が連邦政府機関に対して発令したのは、ゼロデイ攻撃で悪用された Cisco 製ファイアウォール・デバイスの保護を命じる緊急指令である。9月25日の緊急指令 25-03 は、Adaptive Security Appliance (ASA)／Firepower Threat Defense (FTD) ソフトウェアにおける、脆弱性 CVE-2025-20333／CVE-2025-20362 へのパッチ適用を求めるものだ。

2025年9月25日付けで CISA は、「この攻撃キャンペーンは広範囲に及び、ゼロデイ脆弱性を悪用する未認証の攻撃者は、ASA 上でリモート・コードを実行し、読み取り専用メモリ (ROM) を操作し、再起動やシステムアップグレード後も攻撃を継続させる。この活動は、被害者のネットワークに深刻なリスクをもたらす」と警告した。

それぞれの機関に求められるのは、すべての Cisco ASA／Firepower デバイスを特定し、CISA が提供する手順とツールでフォレンジック情報を収集して、侵害を評価することだ。さらに、サポート終了デバイスを切断し、継続して使用するデバイスをアップグレードすることである。

CISA は、FCEB 傘下の全機関に対して義務付けるのは、ネットワーク上のすべての Cisco ASA／Firepower アプライアンスを特定し、侵害されたデバイスをネットワークから切断し、悪意あるアクティビティの兆候がないデバイスに対しては、9月26日午後 12 時 (米国東部夏時間) までにパッチを適用することだ。さらに、9月30日までにサポート終了 ASA デバイスを、ネットワークから恒久的に切断するよう、CISA は指示している。

英国の National Cyber Security Centre (NCSC) によると、攻撃者はセキュアブートが無効な 5500-X シリーズデバイスを標的とし、LINE VIPER と呼ばれるユーザーモード・シェルコードローダー・マルウェアおよび RayInitiator と称する GRUB ブートキット (再起動やファームウェア更新後も存続可能) を展開しているという。この攻撃により、マルウェアの埋め込み／コマンド実行／侵害デバイスからのデータ漏洩が引き起こされる可能性がある。

ArcaneDoor キャンペーンに関連する悪用

2025年9月25日 Cisco は、以下の２つの脆弱性に対処するセキュリティ・アップデートをリリースした。

• CVE-2025-20333：認証された攻撃者が、リモート・コード実行を引き起こす可能性がある。
• CVE-2025-20362：認証を必要としない攻撃者が、制限された URL エンドポイントにアクセスする可能性がある。

これらの脆弱性が連鎖すると、パッチ未適用のデバイスを、リモートの未認証の攻撃者が完全に制御する可能性が生じる。

Cisco は、「攻撃者は複数のゼロデイ脆弱性を悪用し、ログ無効化／CLI コマンドの傍受／デバイス・クラッシュなど高度な回避手法を介して診断分析を阻止していた」と発表し、VPN Web サービスが有効な 5500-X シリーズを標的としていたと述べた。さらに、侵害されたデバイスのフォレンジック分析では、脅威アクターが ROMMON を改変し、再起動やソフトウェア・アップグレード後であっても、永続化していたケースが確認されている。

CISA と Cisco は、これらの進行中の攻撃を ArcaneDoor 攻撃キャンペーンに関連付けた。2023年11月以降において、このキャンペーンで悪用された、２つの ASA／FTD ゼロデイ脆弱性 CVE-2024-20353／CVE-2024-20359 を介して、世界中の政府ネットワークが侵入された。

2024年1月上旬に Cisco は、ArcaneDoor 攻撃を認識した。そして、このキャンペーンの背後にいる UAT4356 脅威グループ (Microsoft によって STORM-1849 として追跡) が、遅くとも 2023年7月以降に、2 つのゼロデイ脆弱性に対するエクスプロイトのテストと開発を行っていた証拠を発見したと述べていた。これらの攻撃では、未知の Line Dancer インメモリ・シェルコード・ローダーと Line Runner バックドア・マルウェアが展開され、Cisco デバイス上で持続的な侵入を維持した。

2025年9月25日 Cisco は、ファイアウォール／Cisco IOS ソフトウェアに存在する３つ目の深刻な脆弱性 CVE-2025-20363 を修正した。この脆弱性により、未修正デバイス上では未認証の脅威アクターであっても、リモート・コード実行の可能性を得る。ただし Cisco は、今回のアドバイザリにおいて、この脆弱性と現在の攻撃を直接的には関連付けなかった。Product Security Incident Response Team (PSIRT) は「この脆弱性に関する公表や悪用は認識していない」と述べている。

Cisco のファイアウォール製品に、ゼロデイ脆弱性が解説されています。問題の原因は、認証やアクセス制御の不備により、特定のエンドポイントや ROM 領域に対する操作が可能となってしまった点にあります。特に ROMMON の改変により、再起動後も攻撃が持続する仕組みは深刻であり、単なる一時的な侵害では終わらないのが特徴です。また、複数の脆弱性が連鎖的に利用されることで、未認証の攻撃者がリモートでシステムを完全に制御する可能性があると、この記事は指摘しています。よろしければ、ASA／Firepower で検索も、ご参照ください。