Cisco AsyncOSのゼロデイが悪用される、パッチは未リリース：CVE-2025-20393

佐々山 Tacos

2025.12.18

Cisco AsyncOSのゼロデイが悪用される、パッチは未リリース：CVE-2025-20393

TechCrunch – December 17, 2025

シスコは12月17日、Cisco AsyncOSにおける脆弱性CVE-2025-20393に関するセキュリティアドバイザリを公開。パッチがまだ存在しないこのゼロデイ脆弱性は、Cisco Secure Email （SEG）ゲートウェイおよびCisco Secure Email and Web Manager（SEWM）アプライアンスを狙った攻撃で悪用されているという。米CISAも同脆弱性をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加し、24日までの対応を連邦政府機関に命じている。

シスコのアドバイザリによれば、CVE-2025-20393は不適切な入力確認（CWE-20）に関する脆弱性で、CVSSスコアは最高値の10.0。同社が同脆弱性を利用した攻撃を認識したのは12月10日だったという。アドバイザリには、この攻撃により脅威アクターは「基盤となるオペレーティングシステム上でroot権限で任意のコマンドを実行」できるようになる旨が記されている。また、進行中の調査により、脅威アクターが侵害したアプライアンスに「永続メカニズム」を配備していた形跡が見つかった旨も共有された。影響を受けるのは、スパム隔離機能が有効化されており、かつインターネットに露出しているSEG・SEWMアプライアンスのみとされる。

なお、この機能はデフォルトで有効化されているものではなく、インターネットへの接続の必要性もないとされている。この「非標準」の構成が脆弱性の影響を受ける条件になることから、カリフォルニア大学ロサンゼルス校のシニアサイバーセキュリティ研究者であるMichael Taggart氏は、この要件の存在によりアタックサーフェスは限定されるだろうとの見方を示している。

一方で数々のハッキングキャンペーンを追跡している研究者、Kevin Beaumont氏はTechCrunchの取材に対し、多数の大規模な組織が当該製品を使用していること、この脆弱性を修正するためのセキュリティアップデートがまだリリースされていないこと、そして影響を受けたシステム内のバックドアがどれくらい前から潜伏していたのかが不明であることを理由に、このハッキングキャンペーンは「特別厄介に思える」と述べているという。

影響を受けた顧客の数は明かされていない一方で、シスコの脅威インテリジェンスリサーチチームであるCisco Talosは17日、攻撃の概要や使用されたツール、IoCなどを記したブログ記事を公開。この中で、主に以下のような事項を共有している。

シスコが攻撃を認識したのは12月10日だが、この攻撃キャンペーンは遅くとも11月後半には始まっていた。
Cisco Talosはこの攻撃に関与する脅威アクターを「UAT-9686」として追跡している。
UAT-9686は、攻撃の中でPythonベースの永続性維持メカニズム「AquaShell」を展開したほか、AquaTunnel（ReverseSSH）、chisel（トンネリングツール）、AquaPurge（ログ削除用ユーティリティ）といったツールも使用した。
AquaShellは軽量のバックドアで、PythonベースのWebサーバー内の既存のファイルに埋め込まれ、エンコードされたコマンドを受信してそれをシステムシェル内で実行する性能を持つ。
Talosは、 UAT-9686とTalosが追跡するその他の中国関連の脅威アクターらのTTP、インフラ、被害者像の重複を理由に、UAT-9686は中国に関連する脅威アクターであろうと中程度の確度で評価している。
AquaTunnelなどのツールは、過去にAPT41やUNC5174などの中国関連APTによって使用されていたとの報告があったもの。また中国と関連する極めて高度なAPTグループの数々は、AquaShellのようなWebベースのカスタムインプラントを使うという戦術を採用するケースが増えている。

CVE-2025-20393に対するパッチはまだ利用可能になっていないため、シスコは顧客に対し、脆弱なアプライアンスへのインターネットアクセスを制限し、許可されたホストにのみ接続を許可すること、またアプライアンスをファイアウォールの背後に設置してトラフィックのフィルタリングを実施することなどを推奨している。詳しい推奨策は、シスコのアドバイザリページから確認できる。