Cisco ASA 0-Day RCE Vulnerability Actively Exploited in the Wild
2025/09/26 CyberSecurityNews — Cisco が発行したのは、ASA (Adaptive Security Appliance)/FTD (Firewall Threat Defense) ソフトウェア・プラットフォームに存在し、現在も悪用されている深刻なゼロデイ脆弱性を警告する、緊急のセキュリティ・アドバイザリである。この脆弱性 CVE-2025-20333 (CVSS:9.9) を悪用する認証済みのリモート攻撃者は、影響を受けるデバイス上で root 権限による任意のコード実行の可能性を手にする。
この欠陥は ASA/FTD ソフトウェアの VPN Web サーバ・コンポーネントに存在し、特にリモート・アクセス VPN コンフィグが有効化されているデバイスに影響する。
Cisco PSIRT は、この脆弱性が現在も積極的に悪用されていることを確認しており、デバイス全体の侵害につながる恐れのある、重大な問題だと強調している。
任意のコード実行の脆弱性:CVE-2025-20333
脆弱性 CVE-2025-20333 は、VPN Web サーバで処理される HTTP(S) リクエストに対する、ユーザー入力の不十分な検証に起因する。
このバッファ・オーバーフロー脆弱性 (CWE-120) を悪用する、有効な VPN 認証情報を持つ攻撃者は悪意の HTTP リクエストを作成し、昇格した権限でコードを実行できる。
脆弱なコンフィグにより実行される ASA/FTD デバイスでは、以下の VPN 機能が有効化される。
・AnyConnect IKEv2 Remote Access とクライアント・サービス (crypto ikev2 enable <interface_name> client-services port <port_number>)
・SSL VPN サービス (webvpn enable <interface_name>)
・Mobile User Security (MUS) 実装
この脆弱性を悪用する攻撃者は、これらのコンフィグに含まれる SSL リッスン・ソケットを標的にする。
最初に、攻撃者にとって必要なことは、有効化された VPN 認証情報の取得であり、その後に、対象デバイスの VPN Web サーバに対して、細工した HTTP リクエストを送信することだ。
この脆弱性の発見/調査には、オーストラリアとカナダの当局および、英国の NCSC、CISA などの、複数の国際サイバー機関が連携して対応した。この国際的な協調が示唆するのは、国家に支援され重要インフラを狙う APT グループの存在である。
不正アクセスの脆弱性:CVE-2025-20362
脆弱性 CVE-2025-20362 (CVSS 3.1:6.5:Medium) は、Cisco の Secure Firewall ASA/FTD ソフトウェアの VPN Web サーバに存在する、認証を必要としない不正アクセスの欠陥である。
この脆弱性を悪用するリモート攻撃者は認証を回避し、制限付き URL エンドポイントにアクセス可能となる。
この欠陥は、VPN Web サーバが処理する HTTP(S) リクエストにおいて、ユーザー入力に対する不十分な検証に起因する。具体的に言うと、一部の認証が必要な URL エンドポイントに対して、アクセス・チェックが行われていない。
これらのエンドポイントへ向けて、悪意のある HTTP リクエストを生成/送信する攻撃者は、有効な VPN 認証情報を必要とせずに機密リソースを操作できる。
| CVE | Title | CVSS 3.1 Score | Severity |
| CVE-2025-20333 | Cisco Secure Firewall ASA/FTD VPN Web Server Remote Code Execution Vulnerability | 9.9 | Critical |
| CVE-2025-20362 | Cisco Secure Firewall ASA/FTD VPN Web Server Unauthorized Access Vulnerability | 6.5 | Medium |
緩和策
Cisco が強調するのは、これらの脆弱性に対する有効な回避策は存在しないため、即時のソフトウェア・アップデートが唯一の修復策である点だ。
ユーザー組織にとって必要なことは、Cisco Software Checker を用いて、すべての脆弱なリリースと修正版を特定し、 ASA/FTD デバイスにパッチを適用することだ。
このアドバイザリが強く推奨するのは、show running-config コマンドを用いて VPN サービスにおける脅威検出の設定を確認し、脆弱なコンフィグを特定することだ。ネットワーク管理者にとって必要なことは、SSL VPN エンドポイントに対する異常な VPN 認証パターンや HTTP リクエストの挙動を監視するための、強化された監視を実装することである。
この脆弱性に対するアクティブな悪用の状況と高い深刻度を踏まえると、セキュリティチームとしては、この脆弱性を緊急パッチ適用が必要な、重大インシデントとして扱うべきである。
なお、迅速なパッチ適用が不可能な場合には、運用上の問題を考慮しながら、脆弱な VPN コンフィグを一時的に無効化すべきである。ただし、事業におけるリモート・アクセス要件の継続性に影響を与える可能性があると、Cisco は注意を促している。
Cisco ASA/FTD ソフトウェアに、深刻なゼロデイ脆弱性 CVE-2025-20333 が発見されました。その原因は、VPN Web サーバが受け取る HTTP リクエストに対する、入力検証の不足です。その結果として、バッファ・オーバーフローが引き起こされ、攻撃者に root 権限での任意コード実行を許してしまいます。この悪用が観測されている脆弱性については、複数の国際サイバー機関が連携して対応しており、重要インフラを狙う APT グループの存在が示唆されます。ご利用のチームは、ご注意ください。よろしければ、Cisco ASA/FTD で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.