脆弱性・事例

Cisco ASA / FTD CVE-2025-20333 / 20362 — VPN を狙う認証バイパス + RCE チェーン

admin · · 5 min read

Cisco ASA / FTD CVE-2025-20333 / 20362

2025 年 9 月、Cisco は ASA / Firepower Threat Defense (FTD) シリーズの VPN Web サービスに、認証バイパス(CVE-2025-20362)と任意コード実行(CVE-2025-20333)の二つの重大脆弱性を公表した。両者を連鎖させると、攻撃者は未認証のまま root 相当の権限でデバイスを完全に乗っ取れる。Cisco ASA / FTD は日本国内の中堅〜大手企業のネットワーク境界で広く採用されており、未パッチ機器は事業継続上のクリティカルリスクである。

概要

  • 識別子:CVE-2025-20333(RCE)、CVE-2025-20362(認証バイパス)
  • CVSS v3.1:20333 = 9.9(Critical)、20362 = 6.5(Medium、ただし連鎖で 9.9 相当)
  • 影響範囲:Cisco ASA / FTD の SSL VPN / AnyConnect / WebVPN サービス全般
  • 修正:Cisco 公式の最新パッチ適用
  • 悪用観測:CISA Emergency Directive 発令、政府機関にも適用要請

技術的な詳細

脆弱性のメカニズム

CVE-2025-20362 は、WebVPN を有効にした ASA / FTD の HTTP/HTTPS リクエスト処理において、特定の URL 経路に対する認証チェックが行われない実装欠陥。CVE-2025-20333 は、認証された VPN セッション中で受け取った HTTP リクエストのパース処理に存在する境界外書き込み(OOB Write)で、細工された要求パケットによりリモートコード実行が成立する。攻撃者は 20362 で認証を回避し、20333 で root 相当のコード実行を取る、というチェーンを構築する。

攻撃ベクター

  • SSL VPN / AnyConnect が公開されている管理外部 IF(TCP 443/8443)に対する HTTP リクエスト
  • VPN ポータルが認証必須に見えても、特定の URL は認証チェックを通らない(20362)
  • 続いて細工されたパケットで OOB Write を発火(20333)し、シェルコードを実行
  • 侵害成功後は ASA/FTD の設定情報、認証情報、内部ネットワークへの足掛かりが取られる

影響範囲

  • SSL VPN / WebVPN / AnyConnect ポータルを有効化した ASA / FTD 全機種
  • クラウド版 ASAv も対象
  • 管理 IP のみアクセス可能な構成では本件の直接影響は限定的だが、内部攻撃者からは到達可能

推奨される技術的対応

  • 即時:Cisco 公式最新パッチを適用。アップグレード前に、ASA/FTD のシステムイメージのインテグリティ確認(ROMMON + verify)を実施
  • 暫定:パッチ適用不能な場合、SSL VPN / WebVPN を一時的に無効化、または認証されたソース IP のみに ACL で制限
  • 事後:CISA が公開する侵害確認手順(メモリイメージ採取、SNMP 経由のシステムログ確認)を実行。不審な静的ルート追加、ローカルユーザー追加、SNMP コミュニティ変更は侵害サイン

非エンジニア向け — 経営・管理部門に向けた解説

何が問題か(1 分で)

会社のネットワークの「玄関」に当たる Cisco の VPN 装置に、外部から鍵なしで侵入できる穴が見つかりました。VPN 装置を経由するすべての通信(リモートワーク、拠点間通信、機密データ含む)が、攻撃者から見える状態になる可能性があります。米国政府は連邦機関に「即時対応せよ」と緊急指令を出しており、影響範囲は世界規模です。

自社への影響を判断する

  • 自社のリモートワーク VPN や拠点間 VPN に Cisco ASA / FTD が使われているかを情シスに確認
  • SSL VPN / AnyConnect を有効にしている場合、対応の優先度が最も高い
  • 「VPN サービスを業務時間中に止められない」ことを理由に対応が遅れる組織が多い。あえて止める判断が事業継続より長期視点で安全

IT 部門に確認すべき 3 つの質問

  • 「当社の Cisco ASA / FTD のバージョンと、CVE-2025-20333 / 20362 への対応状況を教えてください」
  • 「ASA / FTD のメモリイメージを保全して、CISA の侵害確認手順を実施してください」
  • 「VPN を一時停止する場合の業務影響と、停止せずに緩和する代替手段を比較してください」

経営判断のポイント

  • VPN 装置の侵害は「内部ネットワークへの足掛かり」を提供する。一度侵害されると、社内システム全体の再点検と認証情報全リセットが必要になる
  • 本件は「世界規模で確実に悪用が観測されているクラスの脆弱性」。BCP 上の優先度を最上位に置く判断材料になる
  • VPN ベンダーへの依存リスクを再評価する契機。冗長化や代替手段の検討を中長期で進める

出典・関連リンク

本記事は公開情報に基づき Omamori AI 編集部が執筆しました。実際の対応にあたっては、Cisco 公式アドバイザリおよび JPCERT/CC・CISA 等の公的勧告を必ず確認してください。

SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細