シスコは、シスコセキュアファイアウォールASAソフトウェアおよびシスコセキュアファイアウォール脅威防御ソフトウェアのVPN Webサーバーに影響する2つのゼロデイ脆弱性について、実際の攻撃で悪用されているとして顧客にパッチ適用を求めた。
CVE-2025-20333はCVSSスコア9.9、CVE-2025-20362はCVSSスコア6.5である。前者は認証済みリモート攻撃者による任意のコード実行、後者は未認証リモート攻撃者による制限URLエンドポイントへのアクセスを可能にする。
調査支援機関として、オーストラリア政府通信本部、オーストラリアサイバーセキュリティセンター、カナダサイバーセキュリティセンター、英国国家サイバーセキュリティセンター、米国CISAが関与している。
CISAは緊急指令ED 25-03を発令し、連邦政府機関に24時間以内の緩和措置を要求した。この攻撃はArcaneDoor脅威クラスターに関連し、UAT4356またはStorm-1849と呼ばれる脅威アクターによるものとされる。
攻撃者は2024年初頭からASA ROM改変能力を実証している。
From: 
Urgent: Cisco ASA Zero-Day Duo Under Attack; CISA …
【編集部解説】
今回のシスコASA脆弱性は、単なるセキュリティ問題を超えて、企業ネットワークの根幹を揺るがす深刻な事態となっています。
CVSSスコア9.9という最高レベルの危険度を持つCVE-2025-20333は、既に認証を突破した攻撃者がシステムの最高権限であるroot権限を奪取できる脆弱性です。これは、攻撃者がファイアウォールという「城壁」の管理者になることを意味します。一方、CVSSスコア6.5のCVE-2025-20362は、認証すら不要で制限されたエンドポイントにアクセス可能な脆弱性であり、この2つが連鎖攻撃で悪用されることで、外部から完全にネットワークを乗っ取られる危険性があります。
特に注目すべきは、攻撃者がROM(読み取り専用メモリ)レベルでの改変を行っている点です。これは従来のマルウェア対策やシステム再起動では除去できない、極めて高度な攻撃手法となります。
ArcaneDoor脅威クラスターは2024年の早い時期からASA ROM改変能力を実証しており、今回の攻撃は長期間にわたる計画的な作戦の一環と考えられます。この脅威クラスターに関連するUAT4356(別名Storm-1849)と呼ばれる攻撃者は、Line RunnerやLine Dancerといった専用マルウェアを開発し、複数ベンダーのペリメーターネットワーク機器を標的としてきました。
企業への影響は広範囲に及びます。ASA製品は世界中の企業で採用されているファイアウォールであり、金融機関、政府機関、大手企業のネットワーク境界を守る重要な役割を担っています。攻撃が成功すれば、機密データの窃取、内部ネットワークへの侵入、さらには重要インフラへの攻撃の踏み台となる可能性があります。
CISAが24時間という異例の短期間での対応を求めているのは、この脆弱性の深刻さと攻撃の活発化を物語っています。特に政府機関への影響は国家安全保障レベルの問題となりかねません。
【用語解説】
ゼロデイ脆弱性 – ソフトウェアベンダーが認識していない、またはパッチが提供されていない脆弱性のこと。攻撃者のみが知っている状態のため、防御が困難である。
CVSS(Common Vulnerability Scoring System) – 脆弱性の深刻度を0.0から10.0のスコアで評価する国際標準システム。9.0以上は「致命的」レベルとされる。
ASA(Adaptive Security Appliance) – シスコが開発するファイアウォール製品のシリーズ名。企業ネットワークの境界防御を担う。
FTD(Firewall Threat Defense) – シスコの次世代ファイアウォールソフトウェア。従来型ファイアウォール機能に加え、侵入防御や脅威インテリジェンスを統合している。
ROM(Read-Only Memory) – 読み取り専用メモリ。通常は書き換えができないため、ここを改変されると従来の対策では除去が困難になる。
ArcaneDoor – 複数ベンダーのペリメーターネットワークデバイスを標的とする脅威クラスター。UAT4356(別名Storm-1849)と呼ばれる脅威アクターに関連し、Line RunnerやLine Dancerといった専用マルウェアを使用する。
KEV(Known Exploited Vulnerabilities) – CISAが管理する、実際に悪用が確認された脆弱性のカタログ。政府機関は優先的に対応が求められる。
【参考リンク】
Cisco公式セキュリティアドバイザリ(外部)
シスコ製品の脆弱性情報と対策を公開している公式ページ。最新のセキュリティアップデートやパッチ情報を提供している。
CISA公式サイト(外部)
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁の公式サイト。脅威情報、セキュリティ指令、KEVカタログなどを提供している。
【参考記事】
Cisco warns of ASA firewall zero-days exploited in attacks(外部)
BleepingComputerによる報道。シスコASAファイアウォールのゼロデイ脆弱性について、技術的詳細と影響範囲を詳しく解説している。
CISA orders agencies to patch Cisco flaws exploited in zero-day attacks(外部)
CISAの緊急指令ED 25-03の内容と、政府機関への具体的な対応要求について詳述した記事。24時間以内の対応期限についても言及している。
Identify and Mitigate Potential Compromise of Cisco Devices(外部)
CISA公式の緊急指令文書。連邦政府機関に対する具体的な対応手順と期限を定めた公式文書である。
【編集部後記】
この記事を読んで、企業のネットワークセキュリティについて改めて考えさせられました。特に今回のような攻撃は、技術的に高度なだけでなく、長期間にわたって準備されたものです。
みなさんの職場や関わる組織では、こうした脅威に対してどのような備えがされているでしょうか。また、ファイアウォールやネットワーク機器のアップデート頻度について把握されていますか。セキュリティは専門部署だけの問題ではなく、組織全体で共有すべき課題だと感じています。今回のシスコの事例から、みなさんはどのような教訓を得られたでしょうか。
