Cisco Secure ASA/FTD の脆弱性 CVE-2025-20333 が FIX:RCE 攻撃を確認

Cisco Confirms Active Exploitation of Secure ASA and FTD RCE Vulnerability

2025/11/06 gbhackers — Cisco が発表したのは、Secure ASA (Adaptive Security Appliance)/FTD (Firewall Threat Defense) に影響を及ぼす深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-20333 を標的とする、継続的な攻撃に関する重大な警告である。同社は 2025年11月5日にセキュリティ・アドバイザリを更新し、パッチ未適用のシステム上でデバイスを完全に侵害する新たな攻撃手法が、脅威アクターにより展開されていることを明らかにした。

この脆弱性は、Cisco Secure ASA/FTD の VPN Web サーバ・コンポーネントに影響を及ぼすものだ。この脆弱性を悪用する認証済みのリモート攻撃者は、HTTP リクエストに対する不適切な入力検証を介して、影響を受けるデバイス上のルート権限で任意のコードを実行できる。

AttributeDetails
CVE IDCVE-2025-20333
Vulnerability TypeBuffer Overflow (CWE-120)
Affected ProductsCisco Secure Firewall ASA Software, Cisco Secure Firewall FTD Software
Cisco Bug IDCSCwq79831
CVSS v3.1 Score9.9 (Critical)

この問題は、ネットワーク境界防御で一連のファイアウォールに依存する組織にとって重大なリスクとなる。脆弱性 CVE-2025-20333 が悪用された場合には、すべてのセキュリティ制御が、攻撃者により回避される可能性が生じる。

悪用の詳細と影響

2025年11月初旬に Cisco は、脆弱なバージョンの ASA/FTD を実行するデバイスを標的とする、新たな攻撃亜種を確認した。この亜種は、パッチ未適用のデバイスを再起動させ、サービス拒否 (DoS) 状態を引き起こすことで、ネットワーク運用を中断させるものである。

この脆弱性を悪用する攻撃者は、その前提として有効な VPN ユーザー認証情報が必要になる。したがって、攻撃者は、フィッシング/認証情報窃取/内部者脅威などを通じて正当な認証情報を入手する必要がある。

したがって、VPN 機能を有効化した Cisco Secure ASA/FTD を実行する組織は、差し迫ったリスクに直面している。脆弱なコンフィグレーションに含まれるものには、クライアント・サービスを利用した AnyConnect IKEv2 リモート・アクセス/モバイル・ユーザー向けのセキュリティ実装/SSL VPN の展開などがある。

この攻撃により、デバイスが完全に侵害される可能性がある。その結果として攻撃者は、ファイアウォール・ルールの変更/トラフィックのリダイレクト/永続的なバックドアの設置などを可能にするとされる。

対応策

すでに Cisco は、修正済みソフトウェア・バージョンをリリースしており、すべての顧客に対して速やかなアップグレードを強く推奨している。なお、この脆弱性を軽減する回避策は存在せず、パッチの適用が唯一の有効な対策となる。

影響範囲が不明な組織は、Cisco のソフトウェア・チェッカー・ツールを使用して、自社のソフトウェア・リリースが影響を受けるかどうかを確認し、提供されている最新の修正バージョンを特定できる。

パッチ適用後に行うべきことは、Cisco が推奨する VPN 脅威検出コンフィグを確認し、リモート・アクセス VPN ログイン認証攻撃/クライアント開始攻撃/無効な VPN サービス接続試行に対する保護を有効化することだ。

これらの対策を組み合わせることで、同様の攻撃ベクターに対する多層防御を実現できる。

この問題の原因は、Cisco Secure ASA/FTD の VPN Web サーバ・コンポーネントで発生した入力検証の不備にあります。HTTP リクエスト処理の際に想定外のデータを適切に扱えず、結果としてバッファ・オーバーフローが引き起こされ、攻撃者がルート権限でコードを実行する可能性が生じています。認証済みユーザーが前提とされるため、フィッシングなどで奪われた VPN 認証情報が悪用される可能性もあります。ご利用のチームは、ご注意ください。よろしければ、Cisco で検索を、ご参照ください。