シスコ、ファイアウォール管理プラットフォームの重大な脆弱性を修正（CVE-2025-20265）

nosa

2025.10.17

8月15〜18日：サイバーセキュリティ関連ニュース

シスコ、ファイアウォール管理プラットフォームの重大な脆弱性を修正（CVE-2025-20265）

SecurityWeek – August 15, 2025

シスコは14日、Secure Firewall Management Center（FMC）とSecure Firewall Threat Defense（FTD）、およびSecure Firewall Adaptive Security Appliance（ASA）製品を対象としたセキュリティアドバイザリを20件以上公開した。

最も深刻と評価された脆弱性はCVE-2025-20265で、これはCisco FTDアプライアンスおよびその他のセキュリティソリューションの管理・監視用に設計されたSecure FMCプラットフォームに影響を与える重大な欠陥と説明されている。この脆弱性はRADIUS認証が有効になったSecure FMCインスタンスに影響を与え、認証されていないリモートの攻撃者に任意のコード実行を許す危険性があるという。

シスコはそのほかにも、深刻度が高いと評価された10件以上の脆弱性に対処した。その大部分は未認証の攻撃者にリモートDoS攻撃で悪用される恐れがあるとされるもので、一部は認証が必要なDoSの脆弱性。また同じく深刻度の高いFMCの欠陥CVE-2025-20148については認証されたリモート攻撃者が悪用した場合、デバイス生成ドキュメントに任意のHTMLコンテンツを挿入したり、オペレーティングシステムから任意のファイルを読み取り、SSRF攻撃を実行したりすることが可能になるようだ。このほか、深刻度評価が中程度の脆弱性11件も修正されている。

上記の脆弱性についてはパッチがリリースされており、影響を受ける製品と必要な修正プログラムを顧客が特定できるソフトウェアチェッカーツールも提供されている。

台湾のWebインフラがAPT「UAT-7237」の標的に　カスタムツールセットが使われる

Security Affairs – August 16, 2025

中国語を話す高度持続的脅威（APT）グループ「UAT-7237」がカスタマイズされたオープンソースツールを使い、台湾のWebインフラを標的に長期的なアクセスを維持しているという。

UAT-7237は遅くとも2022年から活動しているAPTで、2023年から情報窃取を行う脅威アクター「UAT-5918」と多くの共通点があることを研究者らが発見した。このUAT-5918はWebシェルやオープンソースツールを用いて永続化と認証情報の窃取を行っていることで知られ、Cisco Talosの専門家はUAT-7237をそのサブグループだと考えている。

Talosのレポートによると、UAT-7237はある程度カスタマイズされたオープンソースツールを多用しており、これによって検出を回避し、侵入組織内で有害な活動を行っている可能性が高いとみられる。そのほかにもUAT-7237がカスタマイズされたシェルコードローダー「SoundBill」を使用していることや、初期アクセスにパッチ未適用のサーバーを悪用していること、nslookup・systeminfo・pingなどのコマンドを使って迅速な偵察を行い、WebシェルではなくSoftEther VPNとRDPを介して持続性を確立していること、認証情報の窃取は主にMimikatzを使って行っていることなど詳細が報告された。

なお、Talosはこの調査に関連するIoCをGitHub上で公開している。