JPCERT-AT-2025-0021
JPCERT/CC
2025-09-26
Cisco
Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に記載の情報を確認の上、対策の実施を検討してください。
また、National Cyber Security Centre(UK)から本脆弱性が悪用された場合に設置されたマルウェアを検知するためのYARAルールやPythonスクリプトのコード、VPNクライアントの認証に関するリクエストとレスポンスが記載された分析レポートが公開されています。「V. 参考情報」に記載の記事をあわせてご確認ください。
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
National Cyber Security Centre(UK)
Malware Analysis Report RayInitiator & LINE VIPER(PDF)
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2025-09-26
I. 概要
2025年9月25日(現地時間)、Ciscoが、Cisco Adaptive Security Appliance(ASA)およびFirewall Threat Defense(FTD)における複数の脆弱性に関する情報を公表しました。Ciscoによると、これらのうち、制限付きのURLエンドポイントに認証なしでアクセス可能な脆弱性(CVE-2025-20362)と、認証後に任意コード実行可能な脆弱性(CVE-2025-20333)を組み合わせた攻撃を確認しているとのことです。確認された攻撃では、脆弱性の対象とされる一部の製品(Cisco ASA Softwareが動作しており、かつVPN Webサービスが有効になっているCisco ASA 5500-Xシリーズ)が影響を受けていたとのことです。侵害は、マルウェアの設置、任意のコマンド実行、侵害された機器から情報が窃取された可能性があるとしています。Cisco
Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に記載の情報を確認の上、対策の実施を検討してください。
II. 対象
本脆弱性の対象となる製品およびバージョンは多岐にわたります。各脆弱性によって、影響を受ける前提条件が異なりますので、詳細は、Ciscoが提供する最新の情報をご確認ください。III. 対策
Ciscoは本脆弱性を修正したバージョンへのアップデートを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。いずれの脆弱性についても、ワークアラウンドは提供されていないため、速やかなアップデートを推奨します。Ciscoは、侵害が疑われる場合にはローカルのパスワード、証明書、鍵などのリセットを推奨しています。詳細は、開発者が提供する情報を確認してください。IV. 侵害検出方法
Ciscoによると、セキュアブート非対応のCisco ASA 5500-Xシリーズの場合、本脆弱性の対策バージョンで起動すると、ROMMONを自動的にチェックし、この攻撃キャンペーンで検出された永続化メカニズムを検知した場合は削除され、firmware_update.logというファイルがdisk0に書き込まれるとのことです。詳細は、開発者が提供する情報を確認してください。また、National Cyber Security Centre(UK)から本脆弱性が悪用された場合に設置されたマルウェアを検知するためのYARAルールやPythonスクリプトのコード、VPNクライアントの認証に関するリクエストとレスポンスが記載された分析レポートが公開されています。「V. 参考情報」に記載の記事をあわせてご確認ください。
V. 参考情報
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
National Cyber Security Centre(UK)
Malware Analysis Report RayInitiator & LINE VIPER(PDF)
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
