各位
https://www.jpcert.or.jp/at/2025/at250021.html
I. 概要2025年9月25日(現地時間)、Ciscoが、Cisco Adaptive Security Appliance(ASA)およびFirewall Threat Defense(FTD)における複数の脆弱性に関する情報を公表しました。Ciscoによると、これらのうち、制限付きのURLエンドポイントに認証なしでアクセス可能な脆弱性(CVE-2025-20362)と、認証後に任意コード実行可能な脆弱性(CVE-2025-20333)を組み合わせた攻撃を確認しているとのことです。確認された攻撃では、脆弱性の対象とされる一部の製品(Cisco ASA Softwareが動作しており、かつVPN Webサービスが有効になっているCisco ASA 5500-Xシリーズ)が影響を受けていたとのことです。侵害は、マルウェアの設置、任意のコマンド実行、侵害された機器から情報が窃取された可能性があるとしています。
Cisco
Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に記載の情報を確認の上、対策の実施を検討してください。
** 更新:2025年10月1日追記 ****************
2025年9月26日(現地時間)、Ciscoが進行中の攻撃キャンペーンに関して侵害を検出するための参考となるガイドを公開しました。詳細は後述の「IV. 侵害検出方法」をご確認ください。
また、当情報で触れている、進行中の攻撃キャンペーンの調査に関連して、Ciscoは、悪用が確認された2件の脆弱性の他に、CVE-2025-20363(条件付きで認証前に任意のコードが実行可能)も公表しています。CVE-2025-20363について、JPCERT/CCは9月30日にCyberNewsFlashを公開しました。
JPCERT/CC
Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性(CVE-2025-20363)について
https://www.jpcert.or.jp/newsflash/2025093001.html
**************************************************
II. 対象本脆弱性の対象となる製品およびバージョンは多岐にわたります。各脆弱性によって、影響を受ける前提条件が異なりますので、詳細は、Ciscoが提供する最新の情報をご確認ください。
III. 対策Ciscoは本脆弱性を修正したバージョンへのアップデートを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。いずれの脆弱性についても、ワークアラウンドは提供されていないため、速やかなアップデートを推奨します。Ciscoは、侵害が疑われる場合にはローカルのパスワード、証明書、鍵などのリセットを推奨しています。詳細は、開発者が提供する情報を確認してください。
IV. 侵害検出方法Ciscoによると、セキュアブート非対応のCisco ASA 5500-Xシリーズの場合、本脆弱性の対策バージョンで起動すると、ROMMONを自動的にチェックし、この攻撃キャンペーンで検出された永続化メカニズムを検知した場合は削除され、firmware_update.logというファイルがdisk0に書き込まれるとのことです。詳細は、開発者が提供する情報を確認してください。
また、National Cyber Security Centre(UK)から本脆弱性が悪用された場合に設置されたマルウェアを検知するためのYARAルールやPythonスクリプトのコード、VPNクライアントの認証に関するリクエストとレスポンスが記載された分析レポートが公開されています。「V. 参考情報」に記載の記事をあわせてご確認ください。
** 更新:2025年10月1日追記 ****************
Ciscoが、本件に関して侵害を検出するための参考となるガイドを公開しました。攻撃の調査から得た、フォレンジックによる検出の回避が狙いと考えられる、特定のログの出力を抑制する点などが示され、痕跡調査のポイントとされています。また、本ガイドにもとづく調査により侵害が疑われる場合は、Cisco Technical Assistance Center(TAC)に詳細な分析を依頼するよう促しています。
Cisco
Detection Guide for Continued Attacks against Cisco Firewalls by the Threat Actor behind ArcaneDoor
https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
**************************************************
V. 参考情報
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
National Cyber Security Centre(UK)
Malware Analysis Report RayInitiator & LINE VIPER(PDF)
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2025-09-26 公開
2025-10-01 「I. 概要」「IV. 侵害検出方法」に追記
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2025-0021
JPCERT/CC
2025-09-26(公開)
2025-10-01(更新)
JPCERT/CC Alert 2025-09-26
Cisco ASAおよびFTDにおける複数の脆弱性(CVE-2025-20333、CVE-2025-20362)に関する注意喚起https://www.jpcert.or.jp/at/2025/at250021.html
I. 概要2025年9月25日(現地時間)、Ciscoが、Cisco Adaptive Security Appliance(ASA)およびFirewall Threat Defense(FTD)における複数の脆弱性に関する情報を公表しました。Ciscoによると、これらのうち、制限付きのURLエンドポイントに認証なしでアクセス可能な脆弱性(CVE-2025-20362)と、認証後に任意コード実行可能な脆弱性(CVE-2025-20333)を組み合わせた攻撃を確認しているとのことです。確認された攻撃では、脆弱性の対象とされる一部の製品(Cisco ASA Softwareが動作しており、かつVPN Webサービスが有効になっているCisco ASA 5500-Xシリーズ)が影響を受けていたとのことです。侵害は、マルウェアの設置、任意のコマンド実行、侵害された機器から情報が窃取された可能性があるとしています。
Cisco
Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に記載の情報を確認の上、対策の実施を検討してください。
** 更新:2025年10月1日追記 ****************
2025年9月26日(現地時間)、Ciscoが進行中の攻撃キャンペーンに関して侵害を検出するための参考となるガイドを公開しました。詳細は後述の「IV. 侵害検出方法」をご確認ください。
また、当情報で触れている、進行中の攻撃キャンペーンの調査に関連して、Ciscoは、悪用が確認された2件の脆弱性の他に、CVE-2025-20363(条件付きで認証前に任意のコードが実行可能)も公表しています。CVE-2025-20363について、JPCERT/CCは9月30日にCyberNewsFlashを公開しました。
JPCERT/CC
Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性(CVE-2025-20363)について
https://www.jpcert.or.jp/newsflash/2025093001.html
**************************************************
II. 対象本脆弱性の対象となる製品およびバージョンは多岐にわたります。各脆弱性によって、影響を受ける前提条件が異なりますので、詳細は、Ciscoが提供する最新の情報をご確認ください。
III. 対策Ciscoは本脆弱性を修正したバージョンへのアップデートを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。いずれの脆弱性についても、ワークアラウンドは提供されていないため、速やかなアップデートを推奨します。Ciscoは、侵害が疑われる場合にはローカルのパスワード、証明書、鍵などのリセットを推奨しています。詳細は、開発者が提供する情報を確認してください。
IV. 侵害検出方法Ciscoによると、セキュアブート非対応のCisco ASA 5500-Xシリーズの場合、本脆弱性の対策バージョンで起動すると、ROMMONを自動的にチェックし、この攻撃キャンペーンで検出された永続化メカニズムを検知した場合は削除され、firmware_update.logというファイルがdisk0に書き込まれるとのことです。詳細は、開発者が提供する情報を確認してください。
また、National Cyber Security Centre(UK)から本脆弱性が悪用された場合に設置されたマルウェアを検知するためのYARAルールやPythonスクリプトのコード、VPNクライアントの認証に関するリクエストとレスポンスが記載された分析レポートが公開されています。「V. 参考情報」に記載の記事をあわせてご確認ください。
** 更新:2025年10月1日追記 ****************
Ciscoが、本件に関して侵害を検出するための参考となるガイドを公開しました。攻撃の調査から得た、フォレンジックによる検出の回避が狙いと考えられる、特定のログの出力を抑制する点などが示され、痕跡調査のポイントとされています。また、本ガイドにもとづく調査により侵害が疑われる場合は、Cisco Technical Assistance Center(TAC)に詳細な分析を依頼するよう促しています。
Cisco
Detection Guide for Continued Attacks against Cisco Firewalls by the Threat Actor behind ArcaneDoor
https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
**************************************************
V. 参考情報
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
National Cyber Security Centre(UK)
Malware Analysis Report RayInitiator & LINE VIPER(PDF)
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2025-09-26 公開
2025-10-01 「I. 概要」「IV. 侵害検出方法」に追記
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
前
コメント
共 有
