-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2025-0021 JPCERT/CC 2025-09-26(公開) 2026-04-27(更新) <<< JPCERT/CC Alert 2025-09-26 >>> Cisco ASAおよびFTDにおける複数の脆弱性(CVE-2025-20333、CVE-2025-20362)に関する注意喚起 https://www.jpcert.or.jp/at/2025/at250021.html I. 概要 2025年9月25日(現地時間)、Ciscoが、Cisco Adaptive Security Appliance (ASA)およびFirewall Threat Defense(FTD)における複数の脆弱性に関す る情報を公表しました。Ciscoによると、これらのうち、制限付きのURLエンド ポイントに認証なしでアクセス可能な脆弱性(CVE-2025-20362)と、認証後に 任意コード実行可能な脆弱性(CVE-2025-20333)を組み合わせた攻撃を確認し ているとのことです。確認された攻撃では、脆弱性の対象とされる一部の製品 (Cisco ASA Softwareが動作しており、かつVPN Webサービスが有効になって いるCisco ASA 5500-Xシリーズ)が影響を受けていたとのことです。侵害は、 マルウェアの設置、任意のコマンド実行、侵害された機器から情報が窃取され た可能性があるとしています。 Cisco Cisco Event Response: Continued Attacks Against Cisco Firewalls https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks 本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に 記載の情報を確認の上、対策の実施を検討してください。 ** 更新:2026年4月27日追記 ********************************************* 2026年4月23日(現地時間)、Ciscoが本脆弱性に関連するアドバイザリを公開し ました。本脆弱性の修正適用後も残置する永続化機能を有するマルウェアが設置 されていた事案に関する情報が公表されており、マルウェアを検出する方法、検 出された場合の対処方法などが案内されています。 Cisco Continued Evolution of Persistence Mechanism Against Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-CISAED25-03 JPCERT/CCは、本情報更新時点においても、本脆弱性の影響を受けるホストが 国内で多数存在していることを確認しています。また、本脆弱性に対する修正 バージョン公開前に侵害が発生していた可能性がある事例が海外では指摘され ており、当時修正を適用済みであっても侵害が機器内に潜伏・持続している可 能性がある点に注意が必要です。 Ciscoが提供する最新の情報や、「IV. 侵害検出方法」にも追記したCisco Talos、 米CISAが提供する関連情報などを参照し、必要な対策や対処の実施をご検討くだ さい。 ************************************************************************ II. 対象 本脆弱性の対象となる製品およびバージョンは多岐にわたります。 各脆弱性によって、影響を受ける前提条件が異なりますので、詳細は、 Ciscoが提供する最新の情報をご確認ください。 III. 対策 Ciscoは本脆弱性を修正したバージョンへのアップデートを推奨しています。 十分なテストを実施の上、修正済みバージョンの適用をご検討ください。 いずれの脆弱性についても、ワークアラウンドは提供されていないため、 速やかなアップデートを推奨します。 Ciscoは、侵害が疑われる場合にはローカルのパスワード、証明書、鍵などの リセットを推奨しています。 詳細は、開発者が提供する情報を確認してください。 ** 更新:2026年4月27日追記 ********************************************* 侵害が確認された場合、再イメージ化の上、Ciscoが提供する最新の修正済み バージョンやホットフィックスを適用することが推奨されています。詳細は Ciscoが提供する最新の情報を参照してください。 ************************************************************************ IV. 侵害検出方法 Ciscoによると、セキュアブート非対応のCisco ASA 5500-Xシリーズの場合、 本脆弱性の対策バージョンで起動すると、ROMMONを自動的にチェックし、この 攻撃キャンペーンで検出された永続化メカニズムを検知した場合は削除され、 firmware_update.logというファイルがdisk0に書き込まれるとのことです。 詳細は、開発者が提供する情報を確認してください。 また、National Cyber Security Centre(UK)から本脆弱性が悪用された場合 に設置されたマルウェアを検知するためのYARAルールやPythonスクリプトの コード、VPNクライアントの認証に関するリクエストとレスポンスが記載 された分析レポートが公開されています。「V. 参考情報」に記載の記事を あわせてご確認ください。 Ciscoが、本件に関して侵害を検出するための参考となるガイドを公開しまし た。攻撃の調査から得た、フォレンジックによる検出の回避が狙いと考えられ る、特定のログの出力を抑制する点などが示され、痕跡調査のポイントとされ ています。また、本ガイドにもとづく調査により侵害が疑われる場合は、 Cisco Technical Assistance Center(TAC)に詳細な分析を依頼するよう促し ています。 Cisco Detection Guide for Continued Attacks against Cisco Firewalls by the Threat Actor behind ArcaneDoor https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks ** 更新:2026年4月27日追記 ********************************************* 2026年4月23日(現地時間)、Cisco Talos、米CISAがFIRESTARTERバックドアに 関するレポートを公表しました。本脆弱性を悪用した後に永続化を確立するため に設置されるもので、機器内にバックドアが設置されているか調査するために 活用できるコマンド例、ファイルパス、YARAルールなどの情報が公表されていま す。本バックドアはログや振る舞いの異常がほとんど観測されない特性を有し、 一般的な監視・検知手法では発見が困難である点が指摘されています。 また、米CISAによると、本件の侵害は2025年9月初旬の時点ですでに発生していた と評価されており、本脆弱性に対する修正バージョン公開前に侵害されていた 可能性が指摘されています。そのため、修正バージョンを適用済みであっても 安全であるとは限らず、Ciscoなどが提供する最新の情報を確認の上、侵害の 有無を確認するための調査および必要な対処の実施を検討してください。 Cisco Talos UAT-4356's Targeting of Cisco Firepower Devices https://blog.talosintelligence.com/uat-4356-firestarter/ CISA FIRESTARTER Backdoor https://www.cisa.gov/news-events/analysis-reports/ar26-113a ************************************************************************ V. 参考情報 Cisco Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB Cisco Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW National Cyber Security Centre(UK) Malware Analysis Report RayInitiator & LINE VIPER(PDF) https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf JPCERT/CC Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性(CVE-2025-20363)について https://www.jpcert.or.jp/newsflash/2025093001.html ※ Ciscoは、悪用が確認された2件の脆弱性の他に、CVE-2025-20363(条件付きで認証前に任意のコードが実行可能)も公表しています。CVE-2025-20363について、JPCERT/CCは2025年9月30日にCyberNewsFlashを公開しました。 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ________ 改訂履歴 2025-09-26 公開 2025-10-01 「I. 概要」「IV. 侵害検出方法」に追記 2026-04-27 「I. 概要」「III. 対策」「IV. 侵害検出方法」「V. 参考情報」に追記 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) サイバーセキュリティコーディネーショングループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJp7sDCAAoJEKUOCs1Y8SQyvicP/iW/MVDWIvkiRfnCRRRER88t CJ32Sw4m2y3PQRevLCUmQKHiz8Tr+REaDUuVS5J8pBROq6tVAPkiOLbwYZj28pnE NxNbbAIPOHD+IAUS+ztQ1Ye7FINBGHs1lif9W6LVZPPZjZ3wtiwh/ELrj0yJwt8t BjJzXiZNIzipcojW0sQC7Qgs+aIbx7aTdqxvpvEtzg+j2kZ3EABjGypOXBTVwgqm txsLoJqb73h+r9cw7otvOSHzT7VHrf1yTSm24P4Zh8GfnNrvCMqVcJ3axBwc4534 a2PU9cHsBH/4+Hx4L3PBpnlTnMBfgOGYz0hoaqndcZvUn7baaRaepcmiUVivxAY1 BdjN3pTF+qT53AC+aTa8GAb1UBfZ3zb/EF1TWoptZbKXmUO/U+GZzkAHd4pilsCB ab79w3IhY6KkOxvSnicLrEtT5f/bPYWUm7KMvWEN8aTI+FzW44MuUGziTaJwP0y/ BB8+7afU8iGztPlRlqtgEdIJ0PjcgPXNNrVtlH8uqpUjYb/tiN4qNfjMqQ+Ngihp YZbx6j8fQPMfXNPMWWP8ytSilqI/Nina5c4uSTgnPeYUzGB+cCZieaA6bRGTaFaa 2JRSq9ikMbi2/vEQBQZj54O9NQnediDsIo+Ev2CFbgHUpywoOQ4bLWYmbCBbeDoZ odXYVgxAw3pFB3L7GJ4y =lcyU -----END PGP SIGNATURE-----