Cisco ASAおよびFTDに複数の脆弱性、Cisco ASA 5500-Xシリーズを標的とした攻撃も確認

　Ciscoは、「Cisco Adaptive Security Appliance」（ASA）および「Firewall Threat Defense」（FTD）に複数の脆弱性が存在しており、実際の攻撃も確認されていることを発表した。一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）も本件に関する情報を公開している。

　Ciscoによると、制限付きのURLエンドポイントに認証なしでアクセス可能な脆弱性（CVE-2025-20362）と、認証後に任意コード実行可能な脆弱性（CVE-2025-20333）を組み合わせた攻撃が確認されているという。

　確認された攻撃では、脆弱性の対象とされる一部の製品（Cisco ASA Softwareが動作しており、かつVPN Webサービスが有効になっているCisco ASA 5500-Xシリーズ）が影響を受け、マルウェアの設置、任意のコマンド実行、侵害された機器から情報が窃取された可能性がある。

　対策として、Ciscoでは、脆弱性を修正したバージョンへのアップデートを推奨している。修正済みのバージョンに関する情報は、Ciscoの発表から確認できる。このほか、一時的な軽減策として、SSL/TLSベースのVPN Webサービスと、IKEv2クライアントサービスを無効化する方法が挙げられている。

　侵害の検出方法として、セキュアブート非対応のCisco ASA 5500-Xシリーズの場合、脆弱性を対策したバージョンで起動すると、ROMMONを自動的にチェックし、この攻撃キャンペーンで検出された永続化メカニズムを検知した場合は削除され、firmware_update.logというファイルがdisk0に書き込まれる。

　また、イギリスのサイバーセキュリティ当局「National Cyber Security Centre」は、脆弱性が悪用された場合に設置されたマルウェアを検知するためのYARAルールやPythonスクリプトのコード、VPNクライアントの認証に関するリクエストとレスポンスが記載された分析レポートを公開している。