Cisco SEG/SEWM のゼロデイ脆弱性 CVE-2025-2039:積極的な悪用を確認

Cisco warns of unpatched AsyncOS zero-day exploited in attacks

2025/12/17 BleepingComputer — Cisco が発表したのは、Secure Email Gateway (SEG)/Secure Email and Web Manager (SEWM) アプライアンスを標的とした攻撃において、Cisco AsyncOS のゼロデイ脆弱性 CVE-2025-20393 (CVSS 10.0) が積極的に悪用されているという事実である。このゼロデイ脆弱性は、スパム隔離機能が有効化され、インターネットに公開されている特定コンフィグの Cisco SEG/Cisco SEWM アプライアンスのみに影響する。

Cisco の脅威インテリジェンス調査チームである Cisco Talos が公表したのは、UAT-9686 として追跡している中国の脅威グループが、このセキュリティ脆弱性を悪用して、root 権限で任意のコマンドを実行する攻撃を実施しているという事実である。この攻撃で展開されているのは、AquaShell (永続的バックドア)/AquaTunnel や Chisel (リバースSSHトンネル)/マルウェア・インプラント/ログ消去ツール AquaPurge などである。侵害の兆候は GitHub リポジトリで共有されている。

これらの攻撃で使用された AquaTunnel などの悪意のツールは、過去において UNC5174APT41 といった中国政府支援のハッキング・グループとも関連付けられている。

12月17日 (水) に公開されたアドバイザリで、「UAT-9686 として追跡している攻撃者は、中国と関係する高度持続的脅威 (APT) の攻撃者であり、ツールの使用状況およびインフラが他の中国系脅威グループと一致していると、Medium レベルの確信度で評価している」と、Cisco Talos は述べている。

このアドバイザリは、「この活動の一環として UAT-9686 が展開したのは、AquaShell として追跡しているカスタム永続化メカニズムであり、リバーストンネリングおよびログ消去を目的とした追加のツールを併用している」と付け加えている。

Cisco は 12月10日の時点で、これらの攻撃を確認したが、キャンペーン自体は遅くとも 2025年11月下旬から継続されていたとみられる。

脆弱なアプライアンスへのアクセスを制限

現時点において Cisco は、このゼロデイ脆弱性に対処するセキュリティ・アップデートを公開していないが、脆弱なアプライアンスへのアクセスを保護/制限するよう、管理者に対して勧告している。この推奨事項に含まれるものには、インターネット・アクセスの制限/信頼できるホストへの接続制限/トラフィック・フィルタリングのためのファイアウォール背後への配置などがある。

管理者にとって必要なことは、メールの処理機能と管理機能の分離/Web ログの監視による異常なアクティビティの検知/調査のためのログの保持などである。さらに、不要なサービスの無効化/最新ソフトウェアへの更新/強力な認証方式 (SAML/LDAP) の実装/デフォルト・パスワードの変更/証明書による管理トラフィックの保護も推奨されている。

一連のアプライアンスに対する侵害の有無を確認したい顧客に対しては、Cisco Technical Assistance Center (TAC) への問い合わせが推奨されている。それに加えて Cisco が強く促しているのは、今日のセキュリティ・アドバイザリの “推奨事項” セクションに記載されているガイダンスに従うことである。

Cisco は、「アプライアンスの Web 管理インターフェイスまたはスパム隔離ポートがインターネットに公開され、到達可能であると確認された場合には、多段階のセキュリティ・プロセスに従い、アプライアンスを安全なコンフィグに復元することを強く推奨する」と警告している。

アプライアンスの安全な状態への復旧が困難な場合は、Cisco TAC への連絡により、侵害の有無を確認することが推奨される。また、侵害が確認された場合に、現時点で唯一の実行可能な手段はアプライアンスの再構築である。それにより、脅威アクターの永続化メカニズムが排除される。

この脆弱性 CVE-2025-20393 の原因は、Cisco AsyncOS システムに存在する不備により、外部からの命令を管理者権限で実行できてしまうという問題にあります。特に、スパム隔離機能が有効化され、インターネットから直接アクセスできる設定になっている場合に、この脆弱性が攻撃される恐れがあります。すでに、この欠陥を悪用する脅威アクターが、システムの乗っ取りや操作ログの消去といった高度な攻撃を仕掛けています。現時点では修正プログラムが公開されていないため、インターネットからのアクセスを制限し、信頼できる通信のみを許可する設定変更が急務となっています。ご利用のチームは、ご注意ください。よろしければ、Cisco での検索結果も、ご参照ください。