Cisco ASAのゼロデイ2件が悪用される：CISAが緊急指令発出（CVE-2025-20333、CVE-2025-20362）

佐々山 Tacos

2025.09.26

Cisco ASAのゼロデイ2件が悪用される：CISAが緊急指令発出（CVE-2025-20333、CVE-2025-20362）

The Hacker News – Sep 25, 2025

シスコは9月25日、Cisco Secure Firewall Adaptive Security Appliance（ASA）ソフトウェアおよびCisco Secure Firewall Threat Defense（FTD）ソフトウェアのVPN Webサーバーに影響を与える2件のゼロデイ脆弱性CVE-2025-20333、CVE-2025-20362に関するアドバイザリをリリース。いずれも悪用の試みが観測されているとしてパッチ適用を促したほか、米CISAも両脆弱性をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加している。

CVE-2025-20333（CVSS v3.1スコア 9.9）は、ユーザーが入力したHTTP(S)リクエスト内の入力値が不適切に検証されることに起因するリモートコード実行（RCE）の脆弱性。有効なVPNユーザー認証情報を有する攻撃者は、細工されたHTTPリクエストをターゲットデバイスへ送ることによりこの脆弱性を悪用可能で、悪用が成功した場合はrootとして任意のコードを実行できるようになるほか、当該デバイスを完全に侵害できる可能性もあるとされる。

一方、CVE-2025-20362（CVSS v3.1スコア 6.5）もユーザーが入力したHTTP(S)リクエスト内の不適切な検証に起因する脆弱性で、攻撃者は細工されたHTTPリクエストをデバイス上のターゲットWebサーバーへ送りつけることでこれを悪用可能。悪用が成功した場合、アクセスの制限されたURLへ認証なしでアクセスできるようになるとされる。

シスコはいずれの脆弱性についても「悪用の試み」があったことを認識していると述べたものの、どのアクターが関与しているのかや、攻撃の規模がどの程度なのかといった詳細は明かさなかった。

一方で、米CISAも25日にこれらの脆弱性に関する緊急指令（ED 25-03）を発出。連邦政府機関に対し、シスコ製デバイスの侵害の恐れに関する特定・分析・影響緩和を実施するよう指示した上、両脆弱性をKEVカタログに追加し、24時間以内に必要な対応を講じるよう命じている。同カタログには、CVE-2025-20333およびCVE-2025-20362が連鎖可能である旨も記載されている。

CISAによれば、これらのゼロデイを現在進行形で悪用しているのは「高度な脅威アクター」で、キャンペーンは「広範」なものだとされる。同庁はまた、攻撃者がゼロデイの悪用によりCisco ASA上で認証なしでRCEを達成しているほか、リブートやシステムアップグレードが行われても永続製を維持できるよう、ROM（read-only memory）の改ざんも実施している旨も伝えた。

CISAはまた、このキャンペーンが脅威クラスター「ArcaneDoor」に関連しているとも指摘。ArcaneDoorはUAT4356（別称Storm-1849）と呼ばれる脅威アクターによる活動群とされ、過去にもシスコを含む複数ベンダーの境界ネットワーク機器を狙ってLine RunnerやLine Dancerといったマルウェアファミリーを配布していることが報告されていた。