Cisco製ファイアウォールとVPNを狙ったゼロデイ攻撃(CVE-2025-20333、CVE-2025-20362)

はじめに

Ciscoは2025年9月25日、Cisco Secure Firewall Adaptive Security Appliance (ASA)およびCisco Secure Firewall Threat Defense (FTD)ソフトウェアのVPN Webサーバーに重大な影響を与える3件の脆弱性に関するセキュリティ アドバイザリーを公開しました。これらの脆弱性は、CVE-2025-20333、CVE-2025-20362、CVE-2025-20363として追跡されており、2025年5月以降、国家支援型の高度な攻撃キャンペーンによって積極的に悪用されたことが確認されています。このキャンペーンは、UAT4356/Storm-1849 (中国を拠点とする脅威アクター)によるもので、ArcaneDoor攻撃手法の進化版として、デバイスの再起動やファームウェアのアップグレード後も機能する高度な永続化メカニズムが採用されています。攻撃者はURLパス正規化の脆弱性を悪用して、保護されたクライアントレスSSL VPN (WebVPN)エンドポイントのセッション検証を回避したり、WebVPNのファイル アップロード機能のヒープ バッファー オーバーフローを利用することで情報漏洩を引き起こしました。

3件の脆弱性のうち、CVE-2025-20363とCVE-2025-20362は認証不要ですが、CVE-2025-20333は認証を必要とします。これらの脆弱性はすべてHTTP(S)経由で動作し、脆弱なデバイス上のWebサービスを標的とします。

サイバーセキュリティ インフラストラクチャー セキュリティ庁(CISA)は緊急指令「ED 25-03: Identify and Mitigate Potential Compromise of Cisco Devices」を発出し、組織向けに緊急対応要件と脆弱性軽減の手順を示しました。

影響を受けるバージョン

以下のCisco ASA 5500-Xシリーズ モデルは、Cisco ASAソフトウェア リリース9.12または9.14を実行し、VPN Webサービスが有効化されており、Secure BootとTrust Anchorが無効化されている場合に攻撃を受ける可能性があります。

• 5512-X、5515-X
• 5525-X、5545-X、5555-X
• 5585-X

推奨される対応

CVE-2025-20333、CVE-2025-20362、CVE-2025-20363への対応

• Cisco ASA/FTDデバイスの特定：組織のインフラに展開されているすべてのASAとFTDデバイスの完全なインベントリーを作成します。
• パッチの適用：CiscoはすべてのASA、ASAv、FTDデバイス向けにこれらの脆弱性に対応するパッチをリリースしています。
• 脅威ハンティングの実施：CISAのCore Dump and Hunt Instructions Parts 1–3に従って、外部公開されているASAデバイスの脅威ハンティングを実行します。連邦政府機関は、2025年9月26日午後11時59分(EDT)までにMalware Next Gen Portal経由でコア ダンプの結果を提出することが義務付けられていますが、CISAはすべての組織にこれらの手順を実行することを強く推奨しています。
  • 侵害が検出された場合は、電源を切らずにデバイスをネットワークから直ちに切断し、CISAにインシデントを報告してください。Cisco ASAデバイスで侵害が疑われる、または確認された場合、Ciscoは修正済みリリースへのアップグレード後にすべての構成(特にローカル パスワード、証明書、キー)を置き換えることを推奨しています。修正済みリリースにアップグレードしたら、デバイスを工場出荷時の状態にリセットし、新しいパスワードを使用してデバイスを最初から再構成し、証明書やキーを再生成します。
  • 侵害が検出されない場合は、パッチ適用と追加の軽減策を継続します。
• 既存デバイスの継続的な更新：2026年8月31日以降にEoSとなるASAハードウェア モデル、ASAv、Firepower FTDアプライアンスについては、2025年9月26日午後11時59分(EDT)までにCiscoから提供される最新のソフトウェア アップデートを適用してください。それ以降のアップデートはCiscoのダウンロード ポータルから入手し、リリース後48時間以内に適用する必要があります。

攻撃の背景

UAT4356は十分なリソースを持つ中国系の脅威アクターで、境界型デバイスを狙った攻撃を専門としています。この脅威グループは、Cisco ASA 5500-Xシリーズの古いモデル(5512-X、5515-X、5525-X、5545-X、5555-X、5585-Xなど)を攻撃対象とし、特にVPN Webサービスが公開された状態で、ASAソフトウェア バージョン9.12または9.14を実行しているアプライアンスに狙いを定めました。標的となったデバイスは、サポートが2025年9月30日に終了するか、すでに終了しており、Secure Boot機能が搭載されていなかったため、ファームウェアの改ざんに対して脆弱な状態にありました。

2024年には、UAT4356がASA/FTDの2件のゼロデイ脆弱性(CVE-2024-20353とCVE-2024-20359)を悪用し、Line RunnerとLine Dancerのマルウェアを展開していることが確認されました。

仕組み

Threatlabzの分析によると、攻撃者は複数のゼロデイ脆弱性を悪用し、ログ機能を無効化したり、CLIコマンドを傍受したり、診断分析を回避するために意図的にデバイスをクラッシュさせるなど、高度な回避技術を駆使していました。

確認された攻撃では、以下のマルウェア ファミリーが使用されていました。

• RayInitiator: Cisco ASA 5500-Xデバイスを標的とする高度なブートキットで、GRUBブートローダーの変更やコア システム バイナリーの直接操作を通じて、攻撃者に永続性を提供します。
• LINE VIPER:モジュラー型のペイロード システムで、WebVPNセッションとICMPチャネルを介した暗号化通信を利用して、攻撃者によるコマンドの実行、ネットワーク トラフィックの傍受、認証の回避、ログの抑制、痕跡の消去を可能にします。また、コア ダンプ中に強制再起動させるなどのアンチフォレンジック機能も備えており、ステルス性の高い標的型攻撃に特化しています。

攻撃の流れ

• 偵察：インターネットに接続されたASA/FTDデバイス(特にWebVPN/HTTPSインターフェイス)を対象に広範なスキャンを実施しました。GreyNoiseの調査によると、8月下旬に2回の大規模なスキャン活動が確認されており、25,000を超えるユニークIPが関与していました。
• 初期アクセス：CVE-2025-20362 (WebVPN認証の回避)を悪用し、脆弱な実行経路へのアクセスを確保しました。
• 脆弱性の悪用：CVE-2025-20333および関連するバグ チェーンを用いてバッファーやヒープのオーバーフロー脆弱性を悪用し、ASAプロセス コンテキスト内でリモートまたは半認証済みのコード実行を達成しました。
• 権限昇格とメモリー実行：ASAユーザーランドにLine VIPERシェルコードを展開し、任意のコマンドとローダーを実行できるようにしました。
• 永続化：RayInitiatorブートキットをROMMONに書き込むことで、再起動やアップデートを行っても永続的に攻撃を維持できる状態を確立しました。
• 悪用後：パケット キャプチャー、構成ダンプ、バックドア アカウントの作成、構成/ログの持ち出し、ログ管理メカニズムの体系的な無効化を行いました。
• コマンド＆コントロール(C2)通信：被害者ごとに作成した暗号化キーを使い、WebVPN/HTTPSセッションやICMPチャネルを通じてデバイスに仕込んだマルウェアを遠隔で管理しました。
• アンチフォレンジック：syslog記録を抑制したり、診断カウンターを改ざんしたり、CLIコマンドを傍受したりするほか、デバイスを意図的にクラッシュさせてフォレンジック分析を困難にしました。
• 複数の脆弱性の悪用：CVE-2025-20362によるログイン回避とCVE-2025-20333によるコード実行を組み合わせて攻撃しました。
• サポート終了デバイスへの攻撃：サポートが終了間近、またはすでに終了しているASA 5500-Xシリーズのデバイス(ファームウェア バージョンが9.12または9.14)を重点的に攻撃しました。
• 防御回避：セキュリティ ログ(特定のsyslog ID)の抑制、強制再起動、CLIコマンドの傍受により、攻撃の痕跡を消去しました。
• ラテラル ムーブメントの兆候なし：この攻撃者は、境界型デバイスを対象としたスパイ活動やデータの持ち出しに特化しており、侵害したASAデバイスを介してネットワーク全体への侵入を試みた形跡は確認されていません。

攻撃チェーン

図1: Cisco ASAデバイスに対する攻撃チェーンを示す図。

Zscalerのソリューション

Zscalerのクラウド ネイティブなゼロトラスト ネットワーク アクセス(ZTNA)は、すべてのユーザーがどこからでもプライベート アプリに迅速かつ安全にアクセスできるようにします。また、リモート アクセスのIPアドレスをインターネットに公開することなく、セキュアなインサイドアウト接続を確保することで、攻撃対象領域と脅威のラテラル ムーブメントのリスクを軽減します。拠点やリモート ユーザーに対しても、一貫したセキュリティ ポリシーを簡単に導入、施行できます。

Zscaler Private Access™ (ZPA)はあらゆる場所でプライベート アプリへのアクセスを保護し、AIを活用したユーザーとアプリ間のセグメンテーションでユーザーをネットワークではなくアプリに接続させます。そして、インサイドアウト接続でラテラル ムーブメントを防止します。

• アプリケーション保護、デセプション、データ保護の機能を統合した、プライベート アプリ向けの包括的なサイバー脅威対策とデータ保護を展開します。

図2:サイバー脅威のリスクを高めるVPNの脆弱性とゼロトラスト アーキテクチャーでこれらのリスクから保護するZPA

ゼロトラストは、ファイアウォールやVPN上に構築されたアーキテクチャーとは根本的に異なり、クラウドやエッジからSecurity as a Serviceを配信するため、複雑なアプライアンス スタック(ハードウェアと仮想どちらも)にトラフィックをバックホールする必要がありません。任意のユーザーを任意のアプリケーションに直接接続する1対1のセキュアなAny-to-Any接続を提供します。ネットワーク全体にエンティティーを接続させることはなく、最小特権アクセスの原則に従います。セキュリティと接続をネットワークから切り離すことで、境界ベースのアプローチに伴う前述の課題を解消できるのがゼロトラストなのです。ゼロトラスト アーキテクチャーを採用すべき理由には、次の4つが挙げられます。

• 攻撃対象領域の最小化：ファイアウォール、VPN、公開IPアドレスを排除するほか、インバウンド接続を許可せず、アプリをゼロトラスト クラウドの背後に隠します。
• 不正侵入の阻止：クラウドならではの機能を活用して、暗号化されたトラフィックを含むすべてのトラフィックを大規模に検査し、リアルタイムでポリシーを施行して脅威を阻止します。
• 脅威のラテラル ムーブメントの防止：ネットワーク全体へのアクセスを拡張するのではなく、エンティティーを個々のITリソースに接続させます。
• 情報漏洩の阻止：漏洩する可能性のあるすべてのパス(暗号化されたトラフィックを含む)全体にポリシーを施行し、転送中データ、保存データ、使用中のデータを保護します。

さらに、ゼロトラスト アーキテクチャーはユーザー エクスペリエンスの改善、運用の複雑さの軽減、コストの削減などのメリットを実現し、ファイアウォールやVPN、境界ベースのアーキテクチャーが抱える多くの問題を解消します。

Zscaler ThreatLabzは、この種の攻撃から組織を保護するために次の機能を実装することを推奨しています。

• Zscaler Private Accessを使用してラテラル ムーブメントを制限し、従業員やサードパーティーの請負業者に対して最小特権アクセスの原則を適用し、ユーザーとアプリ間のセグメンテーション ポリシーを確立することで、組織の重要なアプリケーションを保護する。
• アイデンティティーベースのマイクロセグメンテーションでラテラル ムーブメントを制限し、潜在的な不正侵入による影響を抑制する。
• Zscaler Private Accessでプライベート アプリケーションのトラフィックをインラインで完全に検査し、侵害されたユーザーによるプライベート アプリケーションの悪用を防止する。
• 高度なクラウド サンドボックスで、第2段階のペイロードで配信される未知のマルウェアを防止する。
• Zscaler Deceptionでデコイのサーバー、アプリケーション、ディレクトリー、ユーザー アカウントで攻撃者をおびき寄せ、ラテラル ムーブメントや権限昇格を試みる攻撃者を検知して封じ込める。
• Zscaler Internet Access経由ですべてのサーバー トラフィックをルーティングすることで、侵害されたサーバーからの悪意のあるアクティビティーを特定して阻止する。
• 重要なインフラからのトラフィックを「許可」リストの宛先のみに制限する。
• 信頼できる送信元からのトラフィックも含め、すべてのSSL/TLSトラフィックを検査する。
• 高度な脅威対策を有効にして既知のコマンド＆コントロール ドメインをすべてブロックする。
• 高度なクラウド ファイアウォールを使用して、新しいC2宛先を含むすべてのポートとプロトコルにコマンド＆コントロール対策を拡張する。
• Zscaler Zero Trust Branchでゼロトラスト アーキテクチャーを活用し、ASAアプライアンスでの従来のルートベースのIPsecトンネリングやインバウンドVPNの必要性を排除する。

ベスト プラクティス

CISAの指示に従う

これらの脆弱性の影響を最小限に抑えるには、Cisco脆弱性に関するCISAの緊急指令をタイムリーに順守することが重要です。

ゼロトラスト アーキテクチャーを実装する

セキュリティに対する従来のアプローチを見直し、VPNやファイアウォールなどの脆弱なアプライアンスから脱却する必要があります。AI/MLモデルによって強化された真のゼロトラスト アーキテクチャーを実装し、悪意のあるトラフィックや脅威をブロックして隔離することが、重要な第一歩です。ユーザーをアプリケーションと同じネットワークに接続するのではなく、ユーザーとアプリケーション間のセグメンテーションを優先することで、ラテラル ムーブメントが抑制され、攻撃者が重要なアプリケーションに到達できないようにします。

環境を保護するための予防的な対策を講じる

Ciscoに影響を与えた最近の脆弱性を考慮すると、潜在的な悪用のリスクから組織を守るには、次のようなベスト プラクティスを採用する必要があります。

• 攻撃対象の最小化：アプリや脆弱なVPNをインターネットから隠し、不正侵入を阻止することで、攻撃者が最初のアクセスを入手できないようにします。
• 初期侵入の防止：すべてのトラフィックをインラインで検査し、ゼロデイ エクスプロイト、マルウェア、その他の高度な脅威を自動的に阻止します。
• 最小特権アクセスの施行：アイデンティティーとコンテキストを使用してユーザー、トラフィック、システム、アプリケーションへのアクセスを制限し、許可されたユーザーのみが指定のリソースにアクセスできるようにします。
• 不正アクセスのブロック：強力な多要素認証(MFA)を使用してユーザー アクセスのリクエストを検証します。
• ラテラル ムーブメントの排除：ユーザーをネットワークではなくアプリに直接接続して、潜在的なインシデントの影響範囲を制限します。
• 侵害されたユーザーと内部脅威の検知：インライン検査と監視を有効にして、ネットワーク、プライベート アプリケーション、データにアクセスする侵害されたユーザーを検知します。
• 情報漏洩の阻止：攻撃中のデータの持ち出しを阻止するために、転送中データと保存データを検査します。
• アクティブ ディフェンスの導入：デコイを活用するデセプション テクノロジーを駆使して脅威ハンティングを毎日実行し、攻撃者をリアルタイムであぶり出します。
• セキュリティ文化の構築：多くの侵害は、フィッシング攻撃によって不正侵入された1つのユーザー アカウントから始まります。定期的なサイバーセキュリティ意識向上トレーニングを優先することで、このリスクを軽減し、従業員を侵害から守ることができます。
• セキュリティ態勢の確認：サードパーティーによる定期的なリスク評価やパープル チームの活動を実施して、セキュリティ プログラムのギャップを特定、強化します。サービス プロバイダーやテクノロジー パートナーにも同様の措置を講じ、これらのレポートをセキュリティ部門と共有させることが重要です。

まとめ

CiscoのファイアウォールとVPNデバイスにおける複数のゼロデイ脆弱性は、これまでのケースと同様に国家支援型の攻撃者によって積極的に悪用され、深刻なセキュリティ リスクを引き起こしています。当初は2件のCVEのみが報告されていましたが、追加の分析によりさらに1件が確認されました。他のゼロデイ攻撃事例でも確認されているように今後新たな脆弱性が発見される可能性があります。

脅威アクターは複数のCVEを組み合わせて被害者の環境を侵害する手口を取ることが多いため、公開されているデバイスには重大度の低い脆弱性にも適切なパッチを適用することが重要です。

インターネットに公開されたレガシー デバイス(VPNとファイアウォール)に対する大規模な悪用は今後も続くと予想されます。これに対応するため、組織は迅速な対策を講じるとともに、ゼロトラスト アーキテクチャーを最優先に検討する必要があります。