🛡 概要
米CISAは、Cisco Adaptive Security Appliance(ASA)および Firepower に存在する2件の脆弱性(CVE-2025-20362, CVE-2025-20333)が実際に悪用されているとして、連邦機関に対し速やかな全面パッチ適用を命じました。両脆弱性は連鎖利用により、未認証の攻撃者がインターネット越しに機器を完全制御し得ます。CISAは緊急指令(Emergency Directive 25-03)で24時間以内の対処を要請。Ciscoは9月の修正時点で、VPN Webサービスを有効化した5500-Xシリーズを標的とするゼロデイ攻撃を確認しており、ArcaneDoorキャンペーンで悪用された過去のゼロデイ(CVE-2024-20353, CVE-2024-20359)とも関連付けています。Shadowserverは脆弱機器を3万台超追跡中(当初の4万5千台超から減少)。
🔍 技術詳細
CVE-2025-20362は、特定の制限付きURLエンドポイントへ認証なしでアクセス可能となる不具合で、機器の機能や設定に関わるハンドラへ到達できる余地を与えます。CVE-2025-20333は、細工したリクエストを通じて機器上でコード実行を許す欠陥です。両者が連鎖すると、攻撃者はまず認証回避で内部エンドポイントへ到達し、機器情報の収集や状態変更を行い、続いてRCEで任意コードを実行して永続化や横展開の足掛かりを得ます。対象はASA/Firepowerのうち、特にVPN Webサービス(Clientless SSL VPN/ポータル等)を公開している機器がリスク高となります。Ciscoは本件をArcaneDoorに関連付け、同キャンペーンでは2023年11月以降にCVE-2024-20353/20359が政府ネットワーク侵害に用いられた事例を公表しています。CISAは一部機関で「適用済み」と報告されながら、最小修正バージョン未満へ更新していた事例を確認。想定としては、メジャー/マイナーごとの修正トレインを跨いだ適用誤りや、インターネット非公開機器を見落としたケースが含まれます。ED 25-03はネットワーク内の全ASA/Firepowerへ最新修正の即時適用を求めており、境界露出の有無を問いません。なお、CVSSスコアはベンダー/公的データベースの公表に従って確認してください(本稿時点で公表値への言及は控えます)。
⚠ 影響
- 未認証の遠隔侵入:インターネット公開のWebサービス経由で初期侵入
- 装置の完全制御:設定改変、ポリシー書換え、任意コード実行
- 通信傍受/中継:VPNセッションの盗聴、トラフィックのリダイレクト
- 横展開の踏み台化:管理プレーン経由で内部資産へ到達
- 長期潜伏:起動構成変更や独自コンポーネント導入による持続化
🛠 対策
- ベンダー最新パッチの即時適用:Ciscoの各トレインにおける「最小修正バージョン以上」へ更新。ASDM表示やCLI(show version)で実機のバージョンを二重確認。
- 誤適用防止:運用台帳と実機スキャン結果を突合し、全ASA/Firepower(非公開機器を含む)で適用状況を監査。
- 不要サービス無効化:Clientless SSL VPN/Webポータル等、未使用のWeb機能を停止。管理インターフェースは専用ネット/ACLで限定。
- 緊急時手順:侵害の兆候がある場合はコンフィグ/イメージの信頼性を検証し、必要に応じてクリーンイメージでリイメージ、証明書/VPN資格情報をローテーション。
- 継続監視:脆弱機器の外部露出監査、脅威インテリジェンス(CISA/CiscoのIOC)適用、ネットワーク監視(NDR/NetFlow)強化。
📌 SOC視点
- ログ源:ASA/FirepowerのSyslog、FMCイベント、AnyConnect/リモートアクセスVPNログ、管理平面の監査ログ、NetFlow/フローデータ、境界IDS/IPS、プロキシ/ファイアウォールのHTTPトランザクション。
- 検知観点:
- 認証無しのHTTP/HTTPSリクエストが通常は認証必須のエンドポイントに到達し200系応答となる事象
- 短時間に集中する細工リクエスト、User-Agentのばらつき、URLパラメータの異常長
- 設定変更イベント(ポリシー/ユーザ/AAA/証明書)や不意の再起動/クラッシュ
- 未知の外部IPによる管理プレーン到達、管理セッション試行の増加
- ハンティング例:特定期間のHTTP 401→直後の200遷移、設定差分(running vs startup)、新規管理ユーザ生成、外向きの異常C2様通信(長時間小帯域・一定間隔TLS)。
- インシデント対応:隔離(管理アクセス遮断)、完全バックアップ取得、揮発性情報の保全、オフライン解析後に再イメージ→構成のクリーン復元、資格情報・証明書の全面更新。
📈 MITRE ATT&CK
- Initial Access: Exploit Public-Facing Application(T1190)— Webサービスの脆弱性経由で初期侵入。
- Privilege Escalation: Exploitation for Privilege Escalation(T1068)— Webプロセスから装置権限への権限昇格。
- Persistence: Modify System Image(T1601)— 起動構成/イメージ改変による持続化が想定されるため。
- Command and Control: Web Protocols(T1071.001)/ Encrypted Channel(T1573)— HTTPSを用いたC2隠蔽の可能性。
- Defense Evasion: Impair Defenses(T1562)— ログ無効化やアクセス制御の改変による痕跡隠蔽。
- Lateral Movement: Exploitation of Remote Services(T1210)— 装置から内部サービスへの横展開。
- Discovery: Network Service Discovery(T1046)— 内部ネットワークの探索。
🏢 組織規模別助言
- 小規模(〜50名):ベンダー推奨バージョンへ即時更新。未使用のVPN/Web機能を停止。外部の脆弱性診断サービスで境界を再確認し、管理アクセスは固定IPに限定。
- 中規模(50〜500名):更新の二重化チェック(CMDBと実測)。FMC/SIEMでユースケース化(未認証200応答、設定変更検知)。週次で外部露出資産を棚卸し、非常時の再イメージ手順を文書化・訓練。
- 大規模(500名以上):パッチ適用を変更管理(CAB)に組込み、トレイン跨ぎの最小修正バージョン基準を標準化。NDRとフローテレメトリによる境界行動分析を常設し、ゼロトラスト方針で管理プレーンを分離。
🔎 類似事例
- ArcaneDoor関連:CVE-2024-20353, CVE-2024-20359(政府ネットワークを標的)
- Cisco ASA Webサービス過去事案:CVE-2020-3452(Webサービスのディレクトリトラバーサル)、CVE-2018-0296(WebVPNの情報漏えい)
🧭 次の一手
- Cisco公式アドバイザリとCISA Emergency Directive 25-03の要件を確認し、貴組織の装置ごとに「最小修正バージョン以上」の到達を再検証。
- インターネット非公開のASA/Firepowerも含め、全台の更新・無効化方針(不要Web機能停止)を完了。
- SIEM/NDRに検知ロジックを実装し、過去30〜90日のログでハンティングを実施。兆候があれば再イメージと資格情報ローテーションの実行計画へ移行。
- 次に読むべき資料:Ciscoセキュリティアドバイザリ、CISAのED 25-03実施ガイダンス、ネットワーク機器強化のベストプラクティス(管理プレーン分離、最小機能化)。
