シスコ、悪用が確認されたIOSのゼロデイ脆弱性について警告（CVE-2025-20352）

nosa

2025.09.26

9月25日：サイバーセキュリティ関連ニュース

シスコ、悪用が確認されたIOSのゼロデイ脆弱性について警告（CVE-2025-20352、CVE-2025-20240他）

BleepingComputer – September 24, 2025

シスコは24日、自社ソフトウェアのCisco IOSおよびCisco IOS XEに関するセキュリティアップデートをリリースした。両ソフトには深刻なゼロデイ脆弱性が存在し、どちらも実際の攻撃に悪用されたことが確認されている。

この欠陥はCVE-2025-20352として追跡され、IOSとIOS XEのSNMP（Simple Network Management Protocol）サブシステムに存在するスタックベースのバッファオーバーフローの脆弱性と説明された。SNMPを有効にしているすべてのデバイスが影響を受けるという。

CVE-2025-20352を悪用すると、認証済みかつ権限の低いリモート攻撃者はパッチ未適用のデバイスにサービス拒否（DoS）状態を引き起こすことができる。一方、高度な権限を有する攻撃者はrootユーザーとしてコードを実行することにより、Cisco IOS XEを実行しているシステムの完全な制御が可能になるようだ。

シスコはまた、これ以外にも13件の脆弱性についてパッチをリリースした。そのうち2件はPoCコードが公開されているもので、1つ目のCVE-2025-20240はCisco IOS XEの反射型クロスサイトスクリプティング（XSS）の脆弱性。もう一方のCVE-2025-20149は、サービス拒否の脆弱性となっている。

中国系ハッカーグループ「RedNovember」がPanteganaとCobalt Strikeを使い、世界各国の政府機関などを標的に

The Hacker News – Sep 24, 2025

アフリカやアジア、北米、南米、オセアニアの政府機関または民間企業を標的としてきたサイバースパイグループの詳細が明らかになり、その実態は中国の国家支援型脅威アクターであるとの評価が示された。

脅威インテリジェンス企業Recorded Futureは以前、この活動を「TAG-100」という名称で追跡していたものの、これをハッカーグループ「RedNovember」として正式に認定した。同グループはマイクロソフトに「Storm-2077」の名でも追跡されている。

The Hacker Newsに共有されたレポートによると、RedNovemberは2024年6月から2025年7月にかけて世界中の主要組織のネットワーク境界に設置されるアプライアンスを狙い、Go言語で開発されたバックドアツールPanteganaとCobalt Strikeを使って侵入を図った。このグループは標的を政府機関や民間企業に拡大しており、国防・航空宇宙企業、宇宙関連企業、法律事務所などもターゲットにしているようだ。

攻撃手法については、オープンソースツールのPanteganaとSpark RATを使用している点が特徴に挙げられるという。これは既存のプログラムを悪用し、特定を困難にしようとする試みの可能性が高く、サイバースパイグループの典型的な作戦手法とされている。

また攻撃では、公開されているGo言語ベースのローダー「LESLIE LOADER」の亜種でSpark RATやCobalt Strike Beaconを送り込む手法が用いられたとのこと。RedNovemberはExpressVPNやWarp VPNなどのVPNサービスを利用し、インターネットに接続可能なデバイスを標的にするサーバー群と、Pangaea・Spark RAT・Cobalt Strikeなどのツールを管理・操作しているとみられている。