U.S. CISA adds Cisco, SonicWall, and ASUS flaws to its Known Exploited Vulnerabilities catalog
2025/12/18 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、Cisco /SonicWall/ASUS の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加したことである。今回、カタログに追加された脆弱性は以下のとおりである。
- CVE-2025-20393 (CVSS:10.0) Cisco の複数製品の不適切な入力検証
- CVE-2025-40602 (CVSS:6.6) SonicWall SMA 1000 の不十分な認証
- CVE-2025-59374 (CVSS:9.3) ASUS Live Update の悪意のコード実行
12月10日に Cisco が公表したのは、Cisco Secure Email Gateway アプライアンスの公開ポートを標的とする攻撃キャンペーンに関する情報である。脅威アクターたちは、Cisco Secure Email Gateway および Cisco Secure Email and Web Manager に存在する、リモートコマンド実行の脆弱性 CVE-2025-20393 を悪用している。この攻撃により、攻撃者はルートレベルのコマンドを実行し、永続化メカニズムを仕掛けることが可能になる。
Cisco のアドバイザリには、「Cisco Secure Email Gateway および Cisco Secure Email and Web Manager 用の Cisco AsyncOS ソフトウェアを実行し、インターネットに特定のポートを開いているアプライアンスを標的とする、新たなサイバー攻撃キャンペーンを確認した。この脆弱性を悪用する脅威アクターは、影響を受けるアプライアンスのオペレーティング・システム上で、ルート権限による任意のコマンド実行を可能にする。現在進行中の調査により明らかになったのは、脅威アクターが仕掛けた永続化メカニズムの証拠であり、侵害されたアプライアンスを制御するためのものだ」と記されている。
KEV カタログに追加された2つ目の脆弱性 CVE-2025-40602 は、SonicWall SMA 1000 Appliance Management Console の不十分な認証に起因する、ローカル権限昇格の欠陥である。今週、SonicWall は、この脆弱性がゼロデイ攻撃で悪用されたことを報告し、ユーザーに対して注意を促した。
同社が公開したアドバイザリには、「SonicWall SMA1000 の Appliance Management Console (AMC) における不十分な認証により、ローカル権限昇格の脆弱性が発生している。ただし、SonicWall ファイアウォール製品は、この脆弱性の影響を受けない点に注意してほしい」と記されている。
同社がユーザーに警告するのは、今回の脆弱性と以前の脆弱性 CVE-2025-23006 を連鎖させ、権限昇格を狙う攻撃が生じている状況である。ただし SonicWall は、攻撃の詳細や攻撃者の動機については明らかにしていない。
SonicWall のアドバイザリには、「今回の脆弱性と以前の脆弱性 CVE-2025-23006 (CVSS:9.8) と組み合わせる、未認証のリモート攻撃者により、ルート権限で任意のコード実行が引き起こされていると報告されている。脆弱性 CVE-2025-23006 に関しては、2025年1月22日にリリースされた、ビルドバージョン 12.4.3-02854 (platform-hotfix) で修正されている。SonicWall PSIRT が SMA 1000 ユーザーに対して強く推奨するのは、最新のホットフィックス・リリース・バージョンへとアップグレードし、この脆弱性に対処することだ」と記されている。
KEV カタログに追加された3つ目の脆弱性は、ASUS Live Update に存在するCVE-2025-59374 である。この問題は、サプライチェーン侵害に該当する。悪意のコードが埋め込まれた状態で配布された、一部の Live Update バージョンにおいて、攻撃者による悪意の操作が可能になっている。
この脆弱性は、2019年に発覚した ShadowHammer キャンペーンに遡る。その当時の脅威アクターは、ASUS のアップデートをトロイの木馬化し、MAC アドレスで識別した少数のユーザーを標的としていた。ASUS により、この問題は 2019年に修正されたが、2025年12月に Live Update のサポートが終了している。
拘束力のある運用指令 BOD 22-01 “既知の脆弱性の重大なリスクの軽減” によると、FCEB 機関はカタログの欠陥を悪用した攻撃からネットワークを保護するために、指定された期限までに脆弱性に修正プログラムを適用する必要がある。CISA は連邦政府機関に対して、Cisco と SonicWall の脆弱性を 2025年12月24日までに、ASUS の脆弱性を 2025年1月7日までに修正するよう命じた。
専門家たちが民間組織に対して推奨するのは、この KEV カタログを確認し、自社インフラの脆弱性に対処することだ。
Cisco/SonicWall/ASUS の脆弱性が、CISA KEV リストに登録されました。Cisco 製品では、外部から受け取ったデータの検証が不十分だったことで、攻撃者によるシステム深部での命令の実行が可能になっていました。また、SonicWall 製品では、不十分な認証の仕組みと、別の脆弱性が組み合わされることで、高権限が奪われるという事態を招いています。ASUSの事例は、信頼されている更新プログラム自体に、悪意あるコードが混入したというものです。これらの脆弱性は、米連邦政府機関での悪用が確認されたものです。ご利用のチームは、ご注意ください。よろしければ、CISA KEV での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.