Source:https://thehackernews.com/2025/12/cisco-warns-of-active-attacks.html
🛡 概要
Ciscoは、AsyncOSに存在する未修正のゼロデイ脆弱性「CVE-2025-20393」(CVSS 10.0)が実際に悪用されていると警告しました。主な標的は Cisco Secure Email Gateway(旧ESA)および Cisco Secure Email and Web Manager(SMA)で、中国関与とされるAPT「UAT-9686」による攻撃が確認されています。Ciscoは2025年12月10日に侵害キャンペーンを把握し、インターネットから到達可能な特定ポートを公開していた一部のアプライアンスが狙われたと述べています。影響範囲の正確な規模は未公表です。CISAは本件をKEVに追加し、連邦機関に対して2025年12月24日までの緩和措置適用を求めています。
🔍 技術詳細
本脆弱性は、AsyncOSにおける入力検証不備に起因し、影響装置の基盤OS上で攻撃者がroot権限で任意コマンドを実行できる重大な欠陥です。全リリースのAsyncOSが影響を受けますが、悪用成立には以下の前提が必要です。(1)Spam Quarantine機能が有効化されていること(既定では無効)、(2)当該機能がインターネットから到達可能であること。管理UIからNetwork > IP Interfacesで対象インターフェースを開き、Spam Quarantineの有効/無効を確認できます(SMAも同様に管理UIから確認)。
観測された攻撃は2025年11月下旬に遡り、UAT-9686は本脆弱性を武器化してトンネリングツールReverseSSH(別名AquaTunnel)やChisel、ログ消去ユーティリティAquaPurgeを投下・実行。さらに、未認証のHTTP POSTに受動的に反応し、独自デコード後にシステムシェルでコマンドを実行する軽量Pythonバックドア「AquaShell」により持続的な制御を確保していました。Ciscoの調査では、アプライアンス上に永続化メカニズムが植え付けられている証拠も判明しており、完全な根絶には再構築が推奨されています。現時点でパッチは未提供のため、公開面の遮断や防火壁背後での厳格なアクセス制御、管理系とメール処理系のインターフェース分離、HTTPの管理ポータル無効化、不要サービス停止、強固な認証(SAML/LDAP等)、デフォルト管理者パスワードの変更などの緩和が必須です。
⚠ 影響
悪用が成功すると、攻撃者はroot権限で装置を制御し、メールフローの改ざん・停止、隔離メールの閲覧/改変、資格情報や機密メールの窃取、内部ネットワークへの横展開の踏み台化が可能になります。AquaTunnelやChiselによるトンネルで監視を回避しつつ外部C2へ接続し、AquaPurgeで証跡を消去することで検知を困難にします。永続化が確認された場合、通常の清掃では排除が難しく、装置の再構築が最も確実です。
🛠 対策
パッチ提供までの暫定措置として、(1)Spam Quarantineを無効化、またはインターネットからの到達を遮断(特に逆引き不可能な外部IPからのアクセスを拒否)、(2)装置を防火壁背後に配置し、信頼済み管理ホストからのみ到達を許可、(3)メール処理用と管理用のネットワークインターフェースを分離、(4)管理ポータルのHTTPを無効化(HTTPSかつ厳格なTLS設定と多要素認証)、(5)不要なネットワークサービス停止、(6)既定/弱い管理者パスワードの即時変更、(7)Webアクセスログやシステムログの異常監視を実施してください。侵害が疑われる場合は設定バックアップの上で装置を再構築し、導入前に最新のハードニング手順を適用してください。
📌 SOC視点
EDRエージェントが導入できないアプライアンスの特性上、検知はネットワーク/装置ログに依存します。監視すべき指標:未認証HTTP POSTの異常増加、管理UI/Spam Quarantine関連エンドポイントへの不審アクセス、装置発の外向き長時間セッション(特にSSH/HTTP(S)トンネル)、未知宛先への高頻度アウトバウンド、プロセスリストにchisel/ssh等に類するバイナリ、ログローテーション直後のログ欠落や整合性崩れ(AquaPurge示唆)。ネットワーク側ではNDR/ファイアウォール/プロキシのフローとTLSフィンガープリント、DNSクエリの新規・希少度で検知を補強。フォレンジックではテクニカルサポートバンドルの取得、構成ダンプの保全、該当期間のフルパケット/NetFlowの保存を優先してください。
📈 MITRE ATT&CK
・T1190 Exploit Public-Facing Application(インターネット公開のSpam Quarantine面を悪用)
・T1059 Command and Scripting Interpreter(Python/シェルで任意コマンド実行)
・T1505.003 Server Software Component: Web Shell(AquaShellのHTTP POST型バックドア)
・T1572 Protocol Tunneling(ReverseSSH/AquaTunnelやChiselでのトンネル確立)
・T1071.001 Application Layer Protocol: Web Protocols(HTTP経由のC2/コマンド受信)
・T1070 Indicator Removal on Host(AquaPurgeによるログ消去)
・T1105 Ingress Tool Transfer(補助ツールの投下/取得)
・T1068 Exploitation for Privilege Escalation(入力検証不備を突いてroot権限で実行)
🏢 組織規模別助言
小規模(〜50名):Spam Quarantineの無効化または外部遮断を最優先。管理UIは固定IPのみ許可しMFAを必須化。外部SOC/MSPへログ監視を委託し、侵害兆候があれば再構築を迅速に実施。
中規模(50〜500名):管理/メール処理のネットワーク分離、ゼロトラスト型の管理アクセス(VPN+MFA+短期認証)、NDRで外向きトンネル検知を実装。構成基準書とロールバック手順を整備し、再構築演習を事前に実施。
大規模(500名以上):全拠点のAsyncOS資産台帳と露出面(ASM)を即時棚卸し。グローバルACLでSpam Quarantine面を閉塞、SIEMでKEV優先検出ユースケースを展開。危機対応チームが再構築手順を標準化し、分離・封じ込めのSOPとコミュニケーション計画を全社適用。
🔎 類似事例
・CVE-2023-20198(Cisco IOS XE Web UIの悪用:大規模侵害)
・CVE-2024-3400(Palo Alto PAN-OS GlobalProtect RCE:境界装置のゼロデイ悪用)
・CVE-2020-3452(Cisco ASA/FTD Web VPNのパス・トラバーサル:公開面の欠陥悪用)
・CVE-2023-4966(Citrix NetScaler「Citrix Bleed」:認証まわりの境界装置狙い)
🧭 次の一手
1)直ちにSpam Quarantineの有効/露出状況を点検し、外部到達を遮断 2)装置ログ/フローの過去30日分を収集・保全し、未認証POSTや不審な外向きトンネルの有無を確認 3)Cisco推奨の緩和策を適用し、管理面のMFA/強固なACLを導入 4)侵害兆候があれば構成バックアップ後に装置を再構築 5)CISA KEVの監視と緊急対応プレイブックを整備。次は「AsyncOS緊急ハードニング手順」と「境界装置のトンネル検知ユースケース集」を参照し、検知と封じ込めを強化してください。
補足:GreyNoiseは、2025年12月11〜12日にかけてCisco SSL VPNおよびPalo Alto GlobalProtectポータルを狙う大規模な自動化クレデンシャル試行を観測しました(脆弱性悪用ではなく総当たり)。本件とは別系統ながら、境界認証面の堅牢化が急務です。
