Source:https://thehackernews.com/2025/11/cisco-warns-of-new-firewall-attack.html
🛡 概要
Ciscoは、Secure Firewall Adaptive Security Appliance (ASA) および Secure Firewall Threat Defense (FTD) の一部リリースに影響する新たな攻撃手口を警告しました。未適用の環境では意図しない再起動が発生し、サービス不能(DoS)に陥る可能性があります。根本要因は、CVE-2025-20333 と CVE-2025-20362 の悪用です。前者は細工したHTTPリクエストによりroot権限で任意コード実行、後者は認証なしで制限URLへ到達できる不備です。これらは2025年9月下旬に公表されましたが、英国NCSCの報告によれば公開前からゼロデイとして悪用され、RayInitiatorやLINE VIPERといったマルウェア投下に利用された事例が確認されています。一方で、Cisco Unified Contact Center Express (Unified CCX) および Identity Services Engine (ISE) の重大・高深刻度の脆弱性も同時に修正が提供されています。
🔍 技術詳細
ASA/FTDに関するCVE-2025-20333は、HTTP処理経路に起因するリモートコード実行(RCE)の脆弱性で、攻撃者は特定の構造を持つHTTPリクエストを送信するだけで、装置上でroot権限の任意コードを実行できる可能性があります。CVE-2025-20362は、通常は認証が必要な管理系または機能限定のURLへ、認証を経ずに到達できてしまうアクセス制御の欠陥です。これらを組み合わせる、あるいは個別に悪用することで、設定取得、改ざん、持続化、最終的には装置の不安定化・再起動が誘発され、DoS状態が発生します。Ciscoの更新通達では、未パッチのデバイスが予期せずリロードされうるとされ、可用性への直接的な影響が強調されています。
併せて公表されたUnified CCXの重大な欠陥として、CVE-2025-20354(CVSS 9.8)とCVE-2025-20358(CVSS 9.4)が挙げられます。いずれもJava RMIやCCX Editor関連の処理に問題があり、攻撃者が認証なしで任意ファイルアップロードやコマンド実行、認証回避により管理権限取得・任意スクリプト作成と実行が可能となります。修正はUnified CCX 12.5 SU3 ES07および15.0 ES01に含まれます。さらにCisco ISEには、RADIUSアクセス要求の処理ロジック不備により、特定の並びの要求を受けると装置が再起動する高深刻度のDoS(CVE-2025-20343、CVSS 8.6)があり、未認証のリモート攻撃者が可用性を損なえます。なお、CCXの2件とISEの1件については、現時点で実害の報告は確認されていないとされています。
⚠ 影響
ASA/FTDのRCEまたは認可回避に成功されると、外部から装置の完全制御や設定窃取・改ざん、トラフィックの監視・中断が可能となります。攻撃変種では装置のリロードが誘発され、VPNや東西/南北通信の遮断、遠隔拠点の業務停止に直結します。Unified CCXでは、コンタクトセンタ基盤での権限昇格と任意コード実行により、通話録音・顧客データ・シナリオ資産の漏えい/破壊リスクが顕在化します。ISEのDoSはネットワークアクセス制御を中断し、端末の認証・接続に広範な支障を来します。
🛠 対策
– パッチ適用: ASA/FTD、Unified CCX、ISEの最新修正を最優先で適用。CCXは12.5 SU3 ES07または15.0 ES01へ。既知の回避策がある場合はベンダー手順に厳密に準拠。
– 露出最小化: ASA/FTDのHTTPベース管理面はインターネット非公開とし、管理は専用管理ネットワークまたはVPN越しに限定。必要最小のACLとMFAで保護。
– 監視強化: HTTP異常(大量4xx/5xx、異常なUser-Agent、短時間多リクエスト)、装置クラッシュ/リロードイベント、RADIUS要求の急増やシーケンス異常を可視化。しきい値とアラートを設定。
– 侵害抑止: CCXサーバのJava RMIポートを閉域化/制限、不要サービス停止。実行ポリシーでスクリプト実行を厳格化。WAF/IPSで既知シグネチャの適用を確認。
– 可用性対策: 高可用クラスタやフェイルオーバを有効化し、メンテナンス前の設定バックアップとロールバック計画を用意。
📌 SOC視点
– ログ源: ASA/FTDのシステム/イベントログ(予期せぬリロード、例外、クラッシュダンプ生成)、管理HTTPアクセスログ、FMCの接続/侵入イベント。CCXのアプリ/監査ログ(RMI呼び出し、ファイル書き込み、権限変更)、OS監査(javaプロセスからのシェル起動)。ISEのRADIUSトランザクションログ(同一送信元からの不自然な連続要求)。
– 検知ヒント: 短時間に多数の異常HTTP、未知の送信元からの管理URLリクエスト、装置リロード直前のクラッシュイベント相関。CCXではjavaがspawnするsh/bash、怪しいJAR/スクリプトの配置。ISEでは拒否済みMACに対する連続アクセス要求のパターン化。
– ハンティング: 直近30〜90日の対象機器に対する管理面到達ログを集約し、国・ASN・自組織未使用UAの集約可視化。pcap/NetFlowでRADIUSメッセージ頻度/シーケンスの異常検出。
📈 MITRE ATT&CK
– TA0001 初期アクセス / T1190 Exploit Public-Facing Application: ASA/FTDのHTTP処理欠陥やCCXのRMI/Editor経由の不正到達は公開アプリの脆弱性悪用に該当。
– TA0002 実行 / T1059 Command and Scripting Interpreter: CCXで管理権限を得た後のスクリプト作成・実行、RCE後のコマンド実行を説明。
– TA0004 権限昇格 / T1068 Exploitation for Privilege Escalation: RCEがroot権限で実行される点、認証回避から管理者権限取得に至る流れ。
– TA0010 収集/TA0011 C2(状況に依存): 成功後にツール搬入が起きる場合はT1105 Ingress Tool Transferが想定される。
– TA0040 影響 / T1499 Endpoint Denial of Service: 細工パケットにより装置がリロードし可用性が損なわれる事象はエンドポイントDoSに合致。
🏢 組織規模別助言
– 小規模(〜50名): ベンダー推奨版への更新を最優先。管理面はVPN必須、IP制限を実施。監視はクラウド型NDR/IDSを活用し、外部SOCと連携。
– 中規模(50〜500名): 変更管理と段階的ロールアウト、冗長構成の検証。FMCやSIEMへログ集約し、異常HTTP/RADIUSの相関ルールを整備。BCPにネットワーク認証停止時の暫定運用を明記。
– 大規模(500名以上): パッチSLAを明文化し、資産/バージョン台帳を自動更新。ゼロトラストの管理面分離、検証環境での攻撃再現テスト、レッドチームによる公開面の継続評価を実施。
🔎 類似事例
– Unified CCX: CVE-2025-20354(CVSS 9.8、RMI経由のファイルアップロードとrootコマンド実行)、CVE-2025-20358(CVSS 9.4、Editor経由の認証回避とスクリプト実行)。修正は12.5 SU3 ES07 / 15.0 ES01。
– ISE: CVE-2025-20343(CVSS 8.6、特定のRADIUS要求シーケンスで装置再起動)。
– ASA/FTD: CVE-2025-20333(HTTP経由のroot RCE)、CVE-2025-20362(認証なしで制限URL到達)。前者/後者の悪用で装置制御やDoSが生じうる。
🧭 次の一手
1) 影響機器の棚卸しとバージョン特定 2) 直ちに修正適用のメンテ計画を策定 3) 管理面の公開停止とACL厳格化 4) SIEMに検知ルールを追加(異常HTTP、RADIUS連打、装置リロード相関) 5) 変更後の回帰テストとバックアップ検証。次は、Cisco機器のパッチ運用標準化ガイド、Java RMIハードニング実践、NIST CSFに基づく可用性リスク低減手順の解説記事を参照してください。
