Cisco、アプライアンス／ファイアウォール製品の重大な脆弱性を警告 対象製品は即時アップデート推奨：VPN Webサービス有効化の「Cisco ASA 5500-X」シリーズに侵害か

ベーススコア9.9の「CVE-2025-20333」は認証後に任意のコードを実行できる脆弱性。

[＠IT]

　Cisco Systems（以下、Cisco）は2025年9月25日（米国時間）、Cisco Adaptive Security Appliance（ASA）およびFirewall Threat Defense（FTD）における複数の脆弱（ぜいじゃく）性について情報を公開した。同社は、制限付きURLエンドポイントに認証なしでアクセス可能な脆弱性（CVE-2025-20362）と、認証後に任意のコードを実行できる脆弱性（CVE-2025-20333）を組み合わせた攻撃を確認しているという。

　確認された攻撃では、Cisco ASA Softwareを稼働させ、VPN（Virtual Private Network） Webサービスを有効化している「Cisco ASA 5500-Xシリーズ」が影響を受けていた。侵害によって、攻撃者によるマルウェア設置、任意コマンドの実行、情報窃取をされる可能性がある。

　Ciscoは、脆弱性を修正した最新バージョンへのアップデートを強く推奨しており、「いずれの脆弱性についてもワークアラウンド（代替手段）は提供されていない」としている。侵害が疑われる場合はローカルのパスワード、証明書、鍵のリセットを行うよう呼び掛けている。

　検出方法についても情報が開示されている。セキュアブート非対応のCisco ASA 5500-Xシリーズの場合、本脆弱性の修正バージョンで起動すると、プラットフォームの電源投入／リセット時にハードウェアを初期化するブートローダー「ROMMON」を自動的にチェックし、永続化メカニズムを検知した場合は削除され、「firmware_update.log」という名前のファイルがdisk0に書き込まれるという。

　英国のNational Cyber Security Centre（NCSC）は、本攻撃で設置されるマルウェア「RayInitiator」「LINE VIPER」の解析レポート（PDF）を公開した。同レポートには、マルウェア検知に利用可能なYARA（Yet Another Recursive/Ridiculous Acronym）ルールやPythonスクリプト、VPNクライアント認証に関する詳細なリクエスト／レスポンス分析が含まれている。