Cisco 0-Day RCE Secure Email Gateway Vulnerability Exploited in the Wild
2026/01/16 CyberSecurityNews — Cisco が認めたのは、Secure Email Gateway/Secure Email and Web Manager アプライアンスにおける深刻なゼロデイ・リモートコード実行の脆弱性が、実環境で悪用されている状況である。この脆弱性 CVE-2025-20393 を悪用する未認証の攻撃者は、スパム隔離機能に対する細工された HTTP リクエストを介して、ルート権限での任意のコマンド実行を可能にする。
この脆弱性は、Cisco AsyncOS ソフトウェアのスパム隔離機能における、HTTP リクエストの不十分な検証に起因する。この欠陥の影響を受けるアプライアンス上で、root 権限によるリモート・コマンド実行が成立する。
脆弱性 CVE-2025-20393 (CVSS v3.1:10.0) は、CWE-20 (不適切な入力検証) に分類され、ネットワーク経由での悪用が可能であり、攻撃の複雑性は低く、機密性/整合性/可用性の深刻な影響が示されている。
スパム隔離機能が有効化され、インターネットに公開されているアプライアンス (通常はポート 6025) が、この脆弱性により標的化され得る。この設定はデフォルトでは無効化されており、導入ガイドでも推奨されていない。つまり、スパム隔離機能の外部公開が、高度な APT アクターにとっての “裏口” として悪用されている。
| CVE ID | CVSS Score | Vector String | CWE ID | Bug IDs |
|---|---|---|---|---|
| CVE-2025-20393 | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CWE-20 | CSCws36549, CSCws52505 |
2025年12月10日に Cisco は、この攻撃を認識した。その後の調査の結果、2025年11月まで遡るエクスプロイトの痕跡が確認されている。
エクスプロイト・キャンペーンと脅威アクター
Cisco Talos の評価では、China-nexus に関連する APT アクター UAT-9686 (別名 UNC-9686) と、このキャンペーンが結びつけられている。また、APT41/UNC5174 とツールや戦術が重複していることから、中程度の確度でのアトリビューションが行われている。
この攻撃者は、永続的なリモート・アクセスを確保するために、Python ベースのバックドア AquaShell を展開する。また、内部での横展開には、AquaTunnel/Chisel などのリバース SSH トンネリング・ツールを使用し、検知回避のためにログ消去ツール AquaPurge を用いている。その標的には、通信事業者や重要インフラ分野が含まれており、エクスプロイト後の活動はランサムウェアではなくスパイ活動に重点が置かれている。
米国 Cybersecurity and Infrastructure Security Agency (CISA) は、2025年12月17日に CVE-2025-20393 を Known Exploited Vulnerabilities (KEV) カタログに追加した。それと同時に、連邦政府機関に対して 2025年12月24日までの対応を義務付けた。2026年1月の時点で、PoC エクスプロイトは公開されていないが、自動スキャンの増加が確認されている。
侵害の兆候 (IOC) に含まれるのは、埋め込まれた永続化メカニズムや、リモートアクセス用の隠れた通信チャネルなどがある。Cisco が推奨するのは、リモートアクセスを有効化した状態で、TAC (Technical Assistance Center) サポートを通じて確認することである。
緩和策と修正リリース
すでに Cisco は、既知の永続化メカニズムを排除する修正パッチをリリースし、この問題に対処している。この脆弱性に対する回避策は存在しないため、管理者は直ちにアップグレードを実施する必要がある。あわせて、Web インターフェイスの Network > IP Interfaces でスパム隔離機能の有効状態を確認することが推奨される。
Cisco Secure Email Gateway 修正リリース
| Vulnerable Release | First Fixed Release |
|---|---|
| 14.2 and earlier | 15.0.5-016 |
| 15.0 | 15.0.5-016 |
| 15.5 | 15.5.4-012 |
| 16.0 | 16.0.4-016 |
Cisco Secure Email and Web Manager 修正リリース
| Vulnerable Release | First Fixed Release |
|---|---|
| 15.0 and earlier | 15.0.2-007 |
| 15.5 | 15.5.4-007 |
| 16.0 | 16.0.4-010 |
追加の防御策として挙げられるのは、ファイアウォールによる制御、メール/管理インターフェースの分離、HTTP/FTP など不要サービスの無効化、SAML/LDAP など強固な認証方式の利用などがある。
なお、Cisco Secure Email Cloud サービスは、この脆弱性の影響を受けない。ユーザー組織に対して推奨されるのは、外部ログを継続的に監視し、侵害評価が必要な場合は TAC へ問い合わせることだ。
Cisco Email Gateway の脆弱性 CVE-2025-20393 を悪用する未認証の攻撃者が、システムの完全な支配を狙っているようです。この脆弱性の原因は、スパム隔離機能における HTTP リクエストの検証不備にあります。攻撃者が特定のポート (通常は 6025) に対して細工したリクエストを送信すると、システムの入力チェックをすり抜け、OSコマンドが実行されてしまいます。Cisco Talos の調査結果が指摘するのは、中国に関連すると見られる高度標的型攻撃 (APT) グループ UAT-9686 の関与です。この脆弱性を悪用して侵入した攻撃者は、以下のような高度な活動を行っています:
- バックドアの設置:AquaShell というツールによる永続的なアクセス権の確保。
- 横展開とスパイ活動: 内部ネットワークを探索し、重要インフラや通信事業者から情報を窃取。
- 証拠隠滅:AquaPurge というツールを用いたログの消去。
この脆弱性は最高深刻度の CVSS 10.0 と評価されており、回避策は存在しません。パッチの適用が唯一の解決策です。よろしければ、2025/12/21 の「Cisco Secure Email のゼロデイ脆弱性 CVE-2025-20393:実環境での悪用と No Patch」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.