JPCERT-AT-2025-0021
JPCERT/CC
2025-09-26(公開)
2026-04-27(更新)
Cisco
Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に記載の情報を確認の上、対策の実施を検討してください。
また、National Cyber Security Centre(UK)から本脆弱性が悪用された場合に設置されたマルウェアを検知するためのYARAルールやPythonスクリプトのコード、VPNクライアントの認証に関するリクエストとレスポンスが記載された分析レポートが公開されています。「V. 参考情報」に記載の記事をあわせてご確認ください。
Ciscoが、本件に関して侵害を検出するための参考となるガイドを公開しました。攻撃の調査から得た、フォレンジックによる検出の回避が狙いと考えられる、特定のログの出力を抑制する点などが示され、痕跡調査のポイントとされています。また、本ガイドにもとづく調査により侵害が疑われる場合は、Cisco Technical Assistance Center(TAC)に詳細な分析を依頼するよう促しています。
Cisco
Detection Guide for Continued Attacks against Cisco Firewalls by the Threat Actor behind ArcaneDoor
https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
National Cyber Security Centre(UK)
Malware Analysis Report RayInitiator & LINE VIPER(PDF)
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf
JPCERT/CC
Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性(CVE-2025-20363)について
https://www.jpcert.or.jp/newsflash/2025093001.html
※ Ciscoは、悪用が確認された2件の脆弱性の他に、CVE-2025-20363(条件付きで認証前に任意のコードが実行可能)も公表しています。CVE-2025-20363について、JPCERT/CCは2025年9月30日にCyberNewsFlashを公開しました。
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
2025-10-01 「I. 概要」「IV. 侵害検出方法」に追記
2026-04-27 「I. 概要」「III. 対策」「IV. 侵害検出方法」「V. 参考情報」に追記
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
サイバーセキュリティコーディネーショングループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2025-09-26(公開)
2026-04-27(更新)
I. 概要
2025年9月25日(現地時間)、Ciscoが、Cisco Adaptive Security Appliance(ASA)およびFirewall Threat Defense(FTD)における複数の脆弱性に関する情報を公表しました。Ciscoによると、これらのうち、制限付きのURLエンドポイントに認証なしでアクセス可能な脆弱性(CVE-2025-20362)と、認証後に任意コード実行可能な脆弱性(CVE-2025-20333)を組み合わせた攻撃を確認しているとのことです。確認された攻撃では、脆弱性の対象とされる一部の製品(Cisco ASA Softwareが動作しており、かつVPN Webサービスが有効になっているCisco ASA 5500-Xシリーズ)が影響を受けていたとのことです。侵害は、マルウェアの設置、任意のコマンド実行、侵害された機器から情報が窃取された可能性があるとしています。Cisco
Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に記載の情報を確認の上、対策の実施を検討してください。
更新:2026年4月27日追記
2026年4月23日(現地時間)、Ciscoが本脆弱性に関連するアドバイザリを公開しました。本脆弱性の修正適用後も残置する永続化機能を有するマルウェアが設置されていた事案に関する情報が公表されており、マルウェアを検出する方法、検出された場合の対処方法などが案内されています。
Cisco
Continued Evolution of Persistence Mechanism Against Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-CISAED25-03
JPCERT/CCは、本情報更新時点においても、本脆弱性の影響を受けるホストが国内で多数存在していることを確認しています。また、本脆弱性に対する修正バージョン公開前に侵害が発生していた可能性がある事例が海外では指摘されており、当時修正を適用済みであっても侵害が機器内に潜伏・持続している可能性がある点に注意が必要です。
Ciscoが提供する最新の情報や、「IV. 侵害検出方法」にも追記したCisco Talos、米CISAが提供する関連情報などを参照し、必要な対策や対処の実施をご検討ください。
Cisco
Continued Evolution of Persistence Mechanism Against Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-CISAED25-03
JPCERT/CCは、本情報更新時点においても、本脆弱性の影響を受けるホストが国内で多数存在していることを確認しています。また、本脆弱性に対する修正バージョン公開前に侵害が発生していた可能性がある事例が海外では指摘されており、当時修正を適用済みであっても侵害が機器内に潜伏・持続している可能性がある点に注意が必要です。
Ciscoが提供する最新の情報や、「IV. 侵害検出方法」にも追記したCisco Talos、米CISAが提供する関連情報などを参照し、必要な対策や対処の実施をご検討ください。
II. 対象
本脆弱性の対象となる製品およびバージョンは多岐にわたります。各脆弱性によって、影響を受ける前提条件が異なりますので、詳細は、Ciscoが提供する最新の情報をご確認ください。III. 対策
Ciscoは本脆弱性を修正したバージョンへのアップデートを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。いずれの脆弱性についても、ワークアラウンドは提供されていないため、速やかなアップデートを推奨します。Ciscoは、侵害が疑われる場合にはローカルのパスワード、証明書、鍵などのリセットを推奨しています。詳細は、開発者が提供する情報を確認してください。更新:2026年4月27日追記
侵害が確認された場合、再イメージ化の上、Ciscoが提供する最新の修正済みバージョンやホットフィックスを適用することが推奨されています。詳細はCiscoが提供する最新の情報を参照してください。
IV. 侵害検出方法
Ciscoによると、セキュアブート非対応のCisco ASA 5500-Xシリーズの場合、本脆弱性の対策バージョンで起動すると、ROMMONを自動的にチェックし、この攻撃キャンペーンで検出された永続化メカニズムを検知した場合は削除され、firmware_update.logというファイルがdisk0に書き込まれるとのことです。詳細は、開発者が提供する情報を確認してください。また、National Cyber Security Centre(UK)から本脆弱性が悪用された場合に設置されたマルウェアを検知するためのYARAルールやPythonスクリプトのコード、VPNクライアントの認証に関するリクエストとレスポンスが記載された分析レポートが公開されています。「V. 参考情報」に記載の記事をあわせてご確認ください。
Ciscoが、本件に関して侵害を検出するための参考となるガイドを公開しました。攻撃の調査から得た、フォレンジックによる検出の回避が狙いと考えられる、特定のログの出力を抑制する点などが示され、痕跡調査のポイントとされています。また、本ガイドにもとづく調査により侵害が疑われる場合は、Cisco Technical Assistance Center(TAC)に詳細な分析を依頼するよう促しています。
Cisco
Detection Guide for Continued Attacks against Cisco Firewalls by the Threat Actor behind ArcaneDoor
https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
更新:2026年4月27日追記
2026年4月23日(現地時間)、Cisco Talos、米CISAがFIRESTARTERバックドアに関するレポートを公表しました。本脆弱性を悪用した後に永続化を確立するために設置されるもので、機器内にバックドアが設置されているか調査するために活用できるコマンド例、ファイルパス、YARAルールなどの情報が公表されています。本バックドアはログや振る舞いの異常がほとんど観測されない特性を有し、一般的な監視・検知手法では発見が困難である点が指摘されています。
また、米CISAによると、本件の侵害は2025年9月初旬の時点ですでに発生していたと評価されており、本脆弱性に対する修正バージョン公開前に侵害されていた可能性が指摘されています。そのため、修正バージョンを適用済みであっても安全であるとは限らず、Ciscoなどが提供する最新の情報を確認の上、侵害の有無を確認するための調査および必要な対処の実施を検討してください。
Cisco Talos
UAT-4356's Targeting of Cisco Firepower Devices
https://blog.talosintelligence.com/uat-4356-firestarter/
CISA
FIRESTARTER Backdoor
https://www.cisa.gov/news-events/analysis-reports/ar26-113a
また、米CISAによると、本件の侵害は2025年9月初旬の時点ですでに発生していたと評価されており、本脆弱性に対する修正バージョン公開前に侵害されていた可能性が指摘されています。そのため、修正バージョンを適用済みであっても安全であるとは限らず、Ciscoなどが提供する最新の情報を確認の上、侵害の有無を確認するための調査および必要な対処の実施を検討してください。
Cisco Talos
UAT-4356's Targeting of Cisco Firepower Devices
https://blog.talosintelligence.com/uat-4356-firestarter/
CISA
FIRESTARTER Backdoor
https://www.cisa.gov/news-events/analysis-reports/ar26-113a
V. 参考情報
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
National Cyber Security Centre(UK)
Malware Analysis Report RayInitiator & LINE VIPER(PDF)
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf
JPCERT/CC
Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性(CVE-2025-20363)について
https://www.jpcert.or.jp/newsflash/2025093001.html
※ Ciscoは、悪用が確認された2件の脆弱性の他に、CVE-2025-20363(条件付きで認証前に任意のコードが実行可能)も公表しています。CVE-2025-20363について、JPCERT/CCは2025年9月30日にCyberNewsFlashを公開しました。
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2025-09-26 公開2025-10-01 「I. 概要」「IV. 侵害検出方法」に追記
2026-04-27 「I. 概要」「III. 対策」「IV. 侵害検出方法」「V. 参考情報」に追記
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
サイバーセキュリティコーディネーショングループ
Email:ew-info@jpcert.or.jp
