-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2025-0021
                                                             JPCERT/CC
                                                     2025-09-26（公開）
                                                     2025-10-01（更新）

                <<< JPCERT/CC Alert 2025-09-26 >>>

Cisco ASAおよびFTDにおける複数の脆弱性（CVE-2025-20333、CVE-2025-20362）に関する注意喚起

            https://www.jpcert.or.jp/at/2025/at250021.html


I. 概要
2025年9月25日（現地時間）、Ciscoが、Cisco Adaptive Security Appliance
（ASA）およびFirewall Threat Defense（FTD）における複数の脆弱性に関す
る情報を公表しました。Ciscoによると、これらのうち、制限付きのURLエンド
ポイントに認証なしでアクセス可能な脆弱性（CVE-2025-20362）と、認証後に
任意コード実行可能な脆弱性（CVE-2025-20333）を組み合わせた攻撃を確認し
ているとのことです。確認された攻撃では、脆弱性の対象とされる一部の製品
（Cisco ASA Softwareが動作しており、かつVPN Webサービスが有効になって
いるCisco ASA 5500-Xシリーズ）が影響を受けていたとのことです。侵害は、
マルウェアの設置、任意のコマンド実行、侵害された機器から情報が窃取され
た可能性があるとしています。

  Cisco
  Cisco Event Response: Continued Attacks Against Cisco Firewalls
  https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks

本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に
記載の情報を確認の上、対策の実施を検討してください。

** 更新：2025年10月1日追記 *********************************************
2025年9月26日（現地時間）、Ciscoが進行中の攻撃キャンペーンに関して侵害
を検出するための参考となるガイドを公開しました。
詳細は後述の「IV. 侵害検出方法」をご確認ください。

また、当情報で触れている、進行中の攻撃キャンペーンの調査に関連して、
Ciscoは、悪用が確認された2件の脆弱性の他に、CVE-2025-20363（条件付きで
認証前に任意のコードが実行可能）も公表しています。CVE-2025-20363につい
て、JPCERT/CCは9月30日にCyberNewsFlashを公開しました。

  JPCERT/CC
  Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性（CVE-2025-20363）について
  https://www.jpcert.or.jp/newsflash/2025093001.html
************************************************************************


II. 対象
本脆弱性の対象となる製品およびバージョンは多岐にわたります。
各脆弱性によって、影響を受ける前提条件が異なりますので、詳細は、
Ciscoが提供する最新の情報をご確認ください。


III. 対策
Ciscoは本脆弱性を修正したバージョンへのアップデートを推奨しています。
十分なテストを実施の上、修正済みバージョンの適用をご検討ください。
いずれの脆弱性についても、ワークアラウンドは提供されていないため、
速やかなアップデートを推奨します。
Ciscoは、侵害が疑われる場合にはローカルのパスワード、証明書、鍵などの
リセットを推奨しています。
詳細は、開発者が提供する情報を確認してください。


IV. 侵害検出方法
Ciscoによると、セキュアブート非対応のCisco ASA 5500-Xシリーズの場合、
本脆弱性の対策バージョンで起動すると、ROMMONを自動的にチェックし、この
攻撃キャンペーンで検出された永続化メカニズムを検知した場合は削除され、
firmware_update.logというファイルがdisk0に書き込まれるとのことです。
詳細は、開発者が提供する情報を確認してください。

また、National Cyber Security Centre（UK）から本脆弱性が悪用された場合
に設置されたマルウェアを検知するためのYARAルールやPythonスクリプトの
コード、VPNクライアントの認証に関するリクエストとレスポンスが記載
された分析レポートが公開されています。「V. 参考情報」に記載の記事を
あわせてご確認ください。

** 更新：2025年10月1日追記 *********************************************
Ciscoが、本件に関して侵害を検出するための参考となるガイドを公開しまし
た。攻撃の調査から得た、フォレンジックによる検出の回避が狙いと考えられ
る、特定のログの出力を抑制する点などが示され、痕跡調査のポイントとされ
ています。また、本ガイドにもとづく調査により侵害が疑われる場合は、
Cisco Technical Assistance Center（TAC）に詳細な分析を依頼するよう促し
ています。

  Cisco
  Detection Guide for Continued Attacks against Cisco Firewalls by the Threat Actor behind ArcaneDoor
  https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
************************************************************************


V. 参考情報
  Cisco
  Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
  https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

  Cisco
  Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability
  https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW

  National Cyber Security Centre（UK）
  Malware Analysis Report RayInitiator & LINE VIPER（PDF）
  https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2025-09-26 公開
2025-10-01 「I. 概要」「IV. 侵害検出方法」に追記

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=odbp
-----END PGP SIGNATURE-----