Cisco ASA/FTDのゼロデイ連鎖、DoS再起動攻撃が活発化 - SecureShield セキュリティニュースまとめ

Source:https://www.bleepingcomputer.com/news/security/cisco-actively-exploited-firewall-flaws-now-abused-for-dos-attacks/

🛡 概要

Ciscoは、これまでゼロデイとして悪用されてきた2件の脆弱性（CVE-2025-20362とCVE-2025-20333）が、新たにASA/FTDファイアウォールを強制再起動させるDoS攻撃に転用されていると警告しました。両者を連鎖させることで、未パッチ機器に対して認証不要で完全な制御を奪取し、その後リロード・ループを引き起こす攻撃が確認されています。CISAは米連邦機関に24時間以内の対処を指示し、EoS到達機器のネットワーク切り離しも求めています。

🔍 技術詳細

脆弱性の核は2点です。CVE-2025-20362は認証なしで本来制限されるURLエンドポイントへのアクセスを許してしまう不備で、外部からの初期侵入足掛かりとなります。CVE-2025-20333は認証済み攻撃者によるRCE（リモートコード実行）を可能にする欠陥で、前者の不正アクセスや既存アカウントの悪用と組み合わされることで、権限昇格と持続的な制御奪取が実現します。2025年11月5日以降、これらと同一クラスの欠陥を突く新しい変種が観測され、ASA/FTDの想定外リロード（再起動）を誘発し、DoS状態に陥れるケースが増加しました。WebVPN等のウェブサービスが有効なASA 5500-X系やSecure Firewall ASA/FTDソフトに影響が及ぶとされています。影響範囲は依然広く、Shadowserverは一時5万近い未パッチ機器を観測、その後も3.4万超が曝露状態とされています。なお、国家支援とされるArcaneDoor（UAT4356/STORM-1849）キャンペーンは、2023年末以降にCVE-2024-20353/20359を悪用し、Line Dancer（メモリローダ）やLine Runner（バックドア）で持続化を確立した前歴があり、CiscoとCISAは最新連鎖との関連を示唆しています。加えて、2025-09-25にはIOS/Firewall向けの重大欠陥CVE-2025-20363（未認証RCE）が修正されていますが、当該DoS連鎖との直接関連は公表されていません。さらに最近ではCVE-2025-20352（RCE）の実攻撃悪用、Contact Center製品のCVE-2025-20358（認証回避）/CVE-2025-20354（root権限コマンド実行）も修正・注意喚起が行われています。CVSSスコアは一部未公表またはベンダ評価に留まるものがあり、公式アドバイザリでの最新値確認が必要です。

⚠ 影響

可用性低下：連続リロードによりVPN/業務トラフィック断、SLA毀損。
完全侵害：連鎖悪用で機器の完全制御、設定改竄やトラフィック傍受、横展開の踏み台化。
法令・監査：政府・重要インフラ向けの即時是正要求、監査・報告・証跡保全の負荷増。

🛠 対策

至急パッチ適用：Ciscoの該当リリースへアップグレード（CVE-2025-20362/20333/20363/20352/20358/20354）。
暫定緩和：外向きインターフェースのWebVPN/管理用ウェブ機能を無効化、または管理プレーンを専用VRF/インターフェースに隔離。外部からの管理アクセスをIP制限・MFA必須化。
EoS機器の隔離・更改：CISA勧告通り、EoS到達ASAはネットワークから外し、サポート対象機へ更改。
露出面最小化：不要なサービス停止、ACLで管理面到達を遮断、ジオブロック/レピュテーションブロック適用。
バックアップとロールバック計画：コンフィグ/ライセンス/証明書のバックアップ、メンテナンス時間帯の段階的適用。
監視強化：FMC/ASA syslog、NetFlow/デバイスヘルスの常時可視化、異常リロード・HTTP大量リクエストのアラート化。

📌 SOC視点

ログ源：ASA/FTD syslog（再起動・クラッシュ・Webサービス関連）、FMCのヘルス/インシデント、周辺NIDS/NDR、フロー（NetFlow/IPFIX）。
検知観点：短時間に同一送信元からの管理/ウェブポート大量到達、認証失敗なしでの管理エンドポイントアクセス、直後のコンフィグ変更・モジュールロード、想定外リロードイベント。クラッシュダンプ/traceback生成の有無も確認。
調査コマンド例：show tech-support、show crashinfo、show version、show running-configの差分、FMCのSystem > MonitoringとHealth Events、周辺FW/Proxyの接続履歴。
封じ込め：管理インターフェースの即時ACL強化、WebVPN停止、攻撃元IPのブロック、アウトオブバンド経路での管理に切替。

📈 MITRE ATT&CK

Initial Access: Exploit Public-Facing Application（T1190）— 認証回避（CVE-2025-20362）により外部から管理・Webサービスへ侵入。
Privilege Escalation: Exploitation for Privilege Escalation（T1068）— 認証済みRCE（CVE-2025-20333）で高権限コード実行。
Command and Control: Ingress Tool Transfer（T1105）— ArcaneDoorでのLine Dancer/Line Runner投入・C2確立の前例。
Persistence: Modify System Image（T1542.003）— ネットワーク機器での構成/イメージ改変やバックドア常駐のリスク。
Impact: Endpoint Denial of Service（T1499）— リロード・ループによるDoSを意図的に誘発。
Defense Evasion: Valid Accounts（T1078）— 連鎖の一部として正規認証を装う形での操作を想定。

根拠：CiscoとCISAはArcaneDoor（UAT4356/STORM-1849）との関連を公表し、同キャンペーンでのメモリローダ/バックドア常駐、管理プレーン悪用が確認済みです。今回の連鎖も公開面サービスの脆弱性悪用から始まり、RCE/持続化/DoSに至る一連の手口と整合します。

🏢 組織規模別助言

〜50名：ベンダ推奨版へ即時アップグレード。外部管理を閉鎖し、MFA必須の踏み台経由に限定。監視はMSP/NDRのマネージドサービスを活用。
50〜500名：FMC/SIEMでのユースケース整備（再起動・大量HTTP・設定変更の相関検知）。冗長化構成（HA）でメンテ時の停止時間を最小化し、EoS機器は計画刷新。
500名以上：緊急パッチ・チェンジフリーズ下の例外手続、ラボでの再現試験、段階展開。管理プレーン分離、ゼロトラスト・管理ネットワーク、紫チーム演習で連鎖悪用シナリオを検証。

🔎 類似事例

ArcaneDoorキャンペーン：CVE-2024-20353/20359を悪用し政府系ネットワークを侵害。Line Dancer/Line Runnerで持続化。
大規模VPN機器のゼロデイ連鎖悪用（他社事例）：公開面管理サービスの認証回避→RCE→設定改竄/トラフィック傍受→DoSの流れは共通パターン。