CISA Warns Of Adobe Experience Manager Forms 0-Day Vulnerability Exploited In Attacks
2025/10/16 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Adobe Experience Manager Forms に存在する深刻なコード実行の脆弱性に対する緊急アラートを発令し、Known Exploited Vulnerabilities (KEV) に登録した。この脆弱性 CVE-2025-54253 (CVSS:9.8) が影響を及ぼす範囲は、Java Enterprise Edition (JEE) ソフトウェアであり、それを悪用する攻撃者は、脆弱なシステム上で任意のコード実行の可能性を手にする。
CISA の KEV カタログによると、この脆弱性は 2025年10月初旬に Adobe により公表されたものであり、すでに悪用事例が確認されているという。
Adobe Experience Manager Forms は、企業環境におけるデジタル・フォームの作成/管理に広く利用されるプラットフォームであり、顧客とのインタラクションや文書処理に多用されている。
この脆弱性の性質は未特定であり、また、ユーザーによる操作や認証を必要とせずに発動するため、きわめて危険なものとされる。
この脆弱性を悪用する攻撃者は、影響を受けるサーバを完全に制御し、データの盗難/ランサムウェアの展開などに加えて、さらなるネットワーク侵害を引き起こす機会を得るという。
現実世界での悪用と影響
Mandiant などのセキュリティ研究者が観察したのは、クラウド環境でホストされているパッチ未適用のインスタンスに対する悪用の試行であり、ミスコンフィグによりリスクが増大しているという。
CISA の報告によると、CVE-2025-54253 は標的型攻撃において武器化され始めているが、ランサムウェア・グループの関与については不明であるという。
注目すべきインシデントとして挙げられるのは、ヨーロッパの中規模金融サービス企業で発生した侵害であり、この脆弱性を悪用する攻撃者がマルウェアを展開し、一時的なサービス停止とデータの窃取を引き起こしている。
2025年10月15日に CISA は、この CVE を脆弱性カタログに追加しており、11月14日までに連邦政府機関は、緩和策の適用もしくは製品使用を中止する必要がある。
これは、連邦政府システムで悪用されている、脆弱性への迅速な対応を義務付ける拘束的運用指令 BOD 22-01 に沿った措置である。なお、Adobe の Web コンテンツ管理スイートを利用している企業も、高いリスクにさらされている。
すでに Adobe は、 AEM Forms 6.5.23 以下のバージョン向けにパッチをリリースし、この問題に対処している。ユーザーにとって必要なことは、速やかなアップデートの適用と多要素認証の有効化である。また、ネットワークのセグメント化により、横方向への移動を制限する必要がある。
数多くのデジタル・エコシステムにおいて Adobe 製品は不可欠である。したがって、このインシデントが浮き彫りにするものには、サプライチェーン・セキュリティにおける継続的な課題も含まれる。
CISA が Adobe の脆弱性 CVE-2025-54253 を KEV に登録しました。Adobe Experience Manager Forms の JEE 環境に、認証を必要としない任意のコード実行の脆弱性があり、サーバ完全制御/データ窃取に加えて、横展開やランサムウェア展開につながるリスクが高まっていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.