CISAの緊急指令:Cisco ASA/Firepowerゼロデイ
- 公表:2025年9月25日、米CISAがEmergency Directive 25-03を発出。Cisco ASA/Firepowerのゼロデイ(CVE-2025-20333, CVE-2025-20362)の悪用が継続しており、棚卸し・フォレンジック・隔離・更新を連邦機関に義務付け。攻撃は**ArcaneDoor系(Storm-1849)**と関連付け。(CISA)
- Cisco評価:ASAではROM改ざんによる永続化の能力が確認。FirepowerはSecure BootでROM改ざんを検知可能と説明。(CISA)
影響
- 影響対象:VPN Webサービス(WebVPN/SSL-VPNポータル)を有効にしたCisco ASA/FTD。(Canadian Centre for Cyber Security)
- 悪用中の脆弱性:
- CVE-2025-20333(ASA/FTDのVPN WebサーバRCE、CVSS 9.9、認証要)
- CVE-2025-20362(ASA/FTDのWebサービスの認可不備、未認証で保護URLにアクセス可能)
※両者を連鎖するとデバイス完全奪取が可能。CISAのKEVにも追加。(nvd.nist.gov)
対象機器・ソフトウェア(“このバージョンより前”は脆弱)
ASA(Secure Firewall ASA Software)
- 9.12 < 9.12.4.72
- 9.14 < 9.14.4.28
- 9.16 < 9.16.4.85
- 9.17 < 9.17.1.45
- 9.18 < 9.18.4.67
- 9.19 < 9.19.1.42
- 9.20 < 9.20.4.10
- 9.22 < 9.22.2.14
- 9.23 < 9.23.1.19
FTD(Secure Firewall Threat Defense Software)
- 7.0 < 7.0.8.1
- 7.1(全て脆弱)
- 7.2 < 7.2.10.2
- 7.3(全て脆弱)
- 7.4 < 7.4.2.4
- 7.6 < 7.6.2.1
- 7.7 < 7.7.10.1 (Canadian Centre for Cyber Security)
ハード機種の目安(WebVPN有効時):ASA 5500-Xシリーズ、仮想ASAv、および各種Firepower/Secure Firewallアプライアンスが該当(固定版への更新が必要)。(sec.cloudapps.cisco.com)
発生形態(分類)
- ゼロデイ悪用/境界機器狙い/永続化(ROM改ざん)。ArcaneDoor系の継続攻撃と評価。(sec.cloudapps.cisco.com)
対策(緊急度:高)
- 棚卸し & 判定:対象ASA/FTDの現行バージョンとWebVPN有効の有無を列挙。上記しきい値未満は要更新。(Canadian Centre for Cyber Security)
- ハント & 隔離:CISAのED 25-03手順(フォレンジック採取→侵害兆候チェック→侵害疑いはネットワークから隔離)を実施。EoS/EoL機器は計画置換も検討。(CISA)
推奨対応(詳細)
- パッチ適用:Ciscoの固定版へ更新(上のしきい値以降)。更新後、Secure Boot/ROMMON検証・Cisco提供の検出ガイドで改ざん有無を確認。(Canadian Centre for Cyber Security)
- 設定見直し:外向きWebVPNの恒常公開を最小化(必要時のみ/IP制限/MFA強制)。
- 監視強化:CISA KEVの追跡、境界機器ログ(HTTP(S)/VPN認証まわり)の相関。(CISA)
参考リンク(一次情報を先に)
- CISA:ED 25-03 本文、ニュース/KEV追加告知。(CISA)
- Canadian Centre for Cyber Security(詳細な対象バージョン一覧**)**。(Canadian Centre for Cyber Security)
- Cisco:継続攻撃の評価・対処(ArcaneDoor関連)。(sec.cloudapps.cisco.com)
コメント