2025/09/30 SecurityAffairs — 米国 の CISA (Cybersecurity and Infrastructure Security Agency) は、Cisco IOS/Fortra GoAnywhere MFT/Libraesva ESG/Linux Sudo/Adminer の脆弱性を KEV (Known Exploited Vulnerabilities) カタログに登録した。
- CVE-2025-20352:Cisco IOS/IOS XE:スタック・オーバーフロー
- CVE-2025-10035:Fortra GoAnywhere:信頼できないデータのデシリアライズ
- CVE-2025-59689:Libraesva ESG:コマンド・インジェクション
- CVE-2025-32463:Linux Sudo:信頼できない制御範囲からの機能の組み込み
- CVE-2021-21311:Adminer: サーバサイド・リクエスト・フォージェリ
1つ目の脆弱性は、Cisco IOS/IOS XE ソフトウェアに影響を与え、現在も悪用されているゼロデイ脆弱性 CVE-2025-20352 である。この深刻度の高い脆弱性は、Cisco IOS/IOS XE ソフトウェアの SNMP サブシステムに存在する。
この脆弱性を悪用する認証済のリモート攻撃者は、低権限では DoS 状態を引き起こし、高権限ではルートコードの実行を可能にする。細工した SNMP パケットを IPv4/IPv6 ネットワーク経由で脆弱なデバイスに送信することで、この脆弱性の悪用が可能になる。根本的な原因は、影響を受けるソフトウェアの SNMP サブシステムにおけるスタック・オーバーフローにある。この脆弱性は、SNMP が有効化されているすべてのデバイスに影響する。同社の PSIRT は、この脆弱性を悪用する攻撃が確認されたと述べている。
2つ目の脆弱性は、Fortra GoAnywhere MFT の CVE-2025-10035 である。先週に watchTowr Labs は、この深刻な脆弱性が公開される1週間前となる 2025年9月10日の時点で、実際の攻撃で悪用されていたという、信頼できる証拠を持っていると発表した。9月18日に Fortra は、GoAnywhere MFT の深刻な脆弱性 CVE-2025-10035 (CVSS:10.0) を修正している。
Fortra GoAnywhere Managed File Transfer は、安全なファイル転送/データ暗号化/コンプライアンス管理のための包括的なソリューションである。各種のシステムやアプリケーション間のファイル転送を管理/自動化するための集中プラットフォームを提供し、組織のネットワーク全体で安全かつ制御されたデータ移動を可能にするものだ。
この脆弱性は、Fortra GoAnywhere MFT のライセンス・サーブレットに存在するデシリアライゼーションの欠陥である。この脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコマンド実行の可能性を得る。
同社のアドバイザリには、「Fortra GoAnywhere MFT のライセンス・サーブレットに存在するデシリアライゼーションの脆弱性により、有効な偽造ライセンス・レスポンス署名を持つ攻撃者が、自身で制御する任意のオブジェクトをデシリアライゼーションさせ、コマンド・インジェクションを引き起こす可能性がある」と記されている。
Fortra が顧客に対して強く推奨するのは、パッチ適用済みのバージョン 7.8.4 (Sustain Release 7.6.3) へのアップグレードである。さらに Fortra は、インターネットへの露出が、この脆弱性の悪用の可否を左右するため、GoAnywhere 管理コンソールへのパブリック・アクセスを制限することを推奨している。
3つ目の脆弱性は、Libraesva Email Security Gateway に存在する。国家レベルの攻撃者が、この ESG のコマンド・インジェクションの脆弱性を悪用したという報告を受け、CISA は CVE-2025-59689 をカタログに追加した。
Libraesva Email Security Gateway は、イタリアの Libraesva が開発した高度な SEG ソリューションである。スパムメール/フィッシングメール/ビジネスメール詐欺 (BEC)/添付ファイルやリンクを介して拡散するマルウェアやランサムウェアといった、メールを侵入口として悪用する APT などから、組織を保護するように設計されている。
特別に細工された圧縮添付ファイルを取り込んだ、悪意のメールを送信する攻撃者が、この脆弱性を悪用している。この欠陥により、特定の圧縮アーカイブ内のコードが適切にサニタイズされず、攻撃者は非特権ユーザーとして任意のコマンドを実行できる。この脆弱性に関連するインシデントを、Libraesva は少なくとも1件特定しており、この攻撃は国家レベルの攻撃者によるものだとしている。
4つ目の脆弱性は、Linux/Unix 系 OS 用のコマンドライン・ユーティリティ sudo に存在する脆弱性である。この脆弱性を悪用するローカルの攻撃者は、影響を受けるシステム上で root 権限を取得できる。
CVE-2025-32463 (CVSS:9.3):sudo のバージョン 1.9.17p1 以下では、ユーザーが管理するディレクトリの “/etc/nsswitch.conf” が -chroot オプション付きで使用されているため、ローカル・ユーザーによる root アクセスが引き起こされてしまう。このローカル権限に関する脆弱性は、Stratascale Cyber Research Unit (CRU) チームにより発見されたものだ。
sudo (superuser do) は、Unix/Linux システムに搭載されているコマンド・ライン・ユーティリティである。sudo の使用を許可されたユーザーは、root などの他ユーザーのセキュリティ権限で、コマンドを実行できる。
拘束力のある運用指令 (BOD) 22-01 に基づき、FCEB 機関は、これらの欠陥を悪用する攻撃からネットワークを保護するため、特定された脆弱性に対処しなければならない。CISA は、連邦政府機関に対して、2025年10月20日までに、これらの脆弱性を修正するよう命じている。
専門家たちは民間組織に対しても、このカタログを確認して、インフラの脆弱性に対処することを推奨している。
複数のソフトウェアやセキュリティ製品で発見され、米国の連邦政府機関で悪用された深刻な脆弱性が、CISA の KEV に登録されました。主な原因は、入力データの処理やアクセス制御の不備です。たとえば Cisco IOS の脆弱性は SNMP サブシステムでのスタック・オーバーフローが原因であり、攻撃者は細工したパケットを送るだけで悪用できます。Fortra GoAnywhere の欠陥は、デシリアライズ処理の設計ミスにより、任意のコード実行につながります。さらに Libraesva ESG では添付ファイル処理のサニタイズ不足、Linux Sudo では設定ファイルの扱いの問題が指摘されています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.