News お知らせ/記事
- 技術情報
- ASA
- Cisco Systems
- FTD
- IOS
- IOS-XE
- IOS-XR
- SSL-VPN
- 脆弱性
【Cisco Systems】HTTP Requestの脆弱性
目次
はじめに
2025年9月25日、ASA、FTD、IOS、IOS-XE、IOS-XRを対象として、HTTP Requestに関連して攻撃者が任意コードの実行が可能となるなど、複数の緊急性が高い脆弱性が公表されました。
今回の記事ではこれら脆弱性の概要と今後の対処について、公開されている情報をもとにお送りさせて頂きます。
VPN Web Server Remote Code Execution Vulnerability
この脆弱性はWeb VPNサービスが稼働するASA/FTDに対して、攻撃者が改変したHTTP Requestを送信することでroot権限で任意コードを実行でき、デバイスが完全に侵害されてしまう可能性が存在するものです。Secure Client (旧AnyConnect)やClientlessを問わず、SSL-VPNを利用している環境の全てなどがこれに該当します。
CVSSでのベーススコアは9.9、レートはCriticalとマークされているため、利用環境に応じて早急に適切な措置を講じるべき事案と勧告されています。
ASA and FTD
- ・Security Impact Rating (SIR): Critical
- ・CVSS Base Score: 9.9
- ・CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
Bug ID(s)
- ・CSCwq79831
CVE ID(s)
- ・CVE-2025-20333
対処方法
この脆弱性に対する対処は、これが解消されたリリースへのアップデートのみとなっています。
Cisco Systems社としての対応状況
既にこの脆弱性を解消したリリースが公開されており、主要なバージョン毎に以下の通りとなっています。
| Software Release | First Fixed Release | 備考 |
|---|---|---|
| 9.22.2 Interim | 9.22.2.14 | 現在の推奨リリース |
| 9.20.4 Interim | 9.20.4.10 | 最新のXLTR |
| 9.18.4 Interim | 9.18.4.67 | – |
| Software Release | First Fixed Release | 備考 |
|---|---|---|
| 7.6.2 | 7.6.2.1 | 現在の推奨リリース |
| 7.4.2 | 7.4.2.4 | 最新のXLTR |
| 7.2.10 | 7.2.10.2 | – |
| 7.0.8 | 7.0.8.1 | XLTR |
この脆弱性はWeb VPNサービスが稼働するASA/FTDに対して、攻撃者が改変したHTTP Requestを送信することで、認証を回避して制限されたURLエンドポイントへアクセスされてしまう可能性が存在するものです。CVE-2025-20333と同様に、Secure Client (旧AnyConnect)やClientlessを問わず、SSL-VPNを利用している環境の全てなどがこれに該当します。
CVSSでのベーススコアは6.5、レートはMediumとマークされていますが、冒頭のCVE-2025-20333と併せて早急に適切な措置を講じるべき事案と勧告されています。
ASA and FTD
- ・Security Impact Rating (SIR): Medium
- ・CVSS Base Score: 6.5
- ・CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
Bug ID(s)
- ・CSCwq79815
CVE ID(s)
- ・CVE-2025-20362
対処方法
この脆弱性に対する対処は、これが解消されたリリースへのアップデートのみとなっています。
Cisco Systems社としての対応状況
既にこの脆弱性を解消したリリースが公開されており、主要なバージョン毎に以下の通りとなっています。(CVE-2025-20333の修正済みバージョンと同一)
| Software Release | First Fixed Release | 備考 |
|---|---|---|
| 9.22.2 Interim | 9.22.2.14 | 現在の推奨リリース |
| 9.20.4 Interim | 9.20.4.10 | 最新のXLTR |
| 9.18.4 Interim | 9.18.4.67 | – |
| Software Release | First Fixed Release | 備考 |
|---|---|---|
| 7.6.2 | 7.6.2.1 | 現在の推奨リリース |
| 7.4.2 | 7.4.2.4 | 最新のXLTR |
| 7.2.10 | 7.2.10.2 | – |
| 7.0.8 | 7.0.8.1 | XLTR |
Web Services Remote Code Execution Vulnerability
この脆弱性はWebサービスが稼働するデバイスに対して、攻撃者が改変したHTTP Requestを送信することでroot権限で任意コードを実行でき、デバイスが完全に侵害されてしまう可能性が存在するものです。
該当するプロダクトは以下の通りとなっています。
- ・SSL-VPNが有効化されているASA/FTD
- ・SSL-VPNが有効化されているIOS
- ・SSL-VPNが有効化されているIOS-XE
- ・32-bitのIOS-XRかつHTTP Serverが有効化されているASR9001
※NX-OSはこの脆弱性の影響を受けないことが確認されています。
特にASA/FTDではCVSSでのベーススコアは9.0、レートはCriticalとマークされているため、利用環境に応じて早急に適切な措置を講じるべき事案と勧告されています。
ASA and FTD
- ・Security Impact Rating (SIR): Critical
- ・CVSS Base Score: 9.0
- ・CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
IOS, IOS-XE, and IOS-XR
- ・Security Impact Rating (SIR): High
- ・CVSS Base Score: 8.5
- ・CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
Bug ID(s)
- ・CSCwo18850
- ・CSCwo35704
- ・CSCwo35779
- ・CSCwo49562
CVE ID(s)
- ・CVE-2025-20363
対処方法
この脆弱性に対する対処は、これが解消されたリリースへのアップデートのみとなっています。
Cisco Systems社としての対応状況
既にこの脆弱性を解消したリリースが公開されており、主要なバージョン毎に以下の通りとなっています。
| Software Release | First Fixed Release | 備考 |
|---|---|---|
| 9.22.2 Interim | 9.22.2.14 | 現在の推奨リリース |
| 9.20.4 Interim | 9.20.4.10 | 最新のXLTR |
| 9.18.4 Interim | 9.18.4.67 | – |
| Software Release | First Fixed Release | 備考 |
|---|---|---|
| 7.6.2 | 7.6.2.1 | 現在の推奨リリース |
| 7.4.2 | 7.4.2.4 | 最新のXLTR |
| 7.2.10 | 7.2.10.2 | – |
| 7.0.8 | 7.0.8.1 | XLTR |
※ASA/FTDはCVE-2025-20333、CVE-2025-20362の修正済みバージョンと同一となっています。
| Software Release | First Fixed Release | 備考 |
|---|---|---|
| 15.9 | 15.9(3)M12 | 現在の推奨リリース |
| 15.8 | – | 15.9へのアップグレードが必要 |
| 15.7 | – | 15.9へのアップグレードが必要 |
| 15.6 | – | 15.9へのアップグレードが必要 |
※IOSは15.9のトレインのみで修正版が公開されているため、15.8以下でこの不具合に該当する場合は15.9へのアップグレードが必要です。
| Software Release | First Fixed Release | 備考 |
|---|---|---|
| 17.15 | 17.15.4 | 現在の推奨リリース |
| 17.12 | 17.12.6, 17.12.5b | 現在の推奨リリース |
| 17.9 | 17.9.8 | – |
| 16.12 | 16.12.14 | – |
| Software Release | Platform | Architecture |
|---|---|---|
| 6.8 | ASR 9001 | 32-bit |
| 6.9 | ASR 9001 | 32-bit |
※IOS-XRは上の表へ該当する場合にこの脆弱性の対象となり、対応するSMUを適切なサポート組織へ依頼する必要があります。
【注意喚起】攻撃による被害状況
今回ご案内させて頂いた脆弱性ですが、認証を回避した制限されたURLエンドポイントへのアクセス(CVE-2025-20362)と任意コード実行(CVE-2025-20333)を組み合わせた攻撃が、ASA 5500-Xシリーズで既に確認されています。
また、米CISAも緊急指令(ED 25-03)を発令するなど、非常に影響が強く緊急性の高い脆弱性となっています。
ここまでに述べさせて頂いた通り、これらの脆弱性にはワークアラウンドが存在せず、修正済みリリースへのアップデートが必要です。ご利用の環境毎に十分なテストを実施し、可能な限り早急なアップデートをご計画頂ければと思います。
※侵害が疑われる場合、パスフレーズ、証明書、秘密鍵などのリセットが推奨されています。
脆弱性の該当有無や修正バージョンの確認方法
Cisco Systems社では以下の主要ソフトウェアについて、リリース毎の脆弱性への該当や修正した最初のリリースを確認できる「Cisco Software Checker」を提供しています。
- ・ASA
- ・FMC
- ・FTD
- ・FXOS
- ・IOS
- ・IOS-XE
- ・NX-OS
- ・NX-OS (ACI Mode)
今回の関連する複数の脆弱性は2025年9月25日に公表され、修正済みリリースの多くも直近で公開されたものとなっています。
まとめ
いかがだってしょうか。
今回の脆弱性は非常にセキュリティリスクが高く、早急な対応が必要な事案となっています。既に当社へもアップデート作業や計画をご依頼頂いており、各エンドユーザー様がご利用頂いている機器のアップデートや事前テストを開始しています。
各脆弱性の修正済みリリースやCisco Software Checkerからもご覧いただける通り、脆弱性への対処を含むアップデートの提供はEoVS (End of Vulnerability/Security Support)を超過していないソフトウェアに限定されます。(今回は例外的にIOS-XE 16.12などでも修正が提供されています。)
このため、本件に限らず緊急性の高い脆弱性の発生に備えるためには、単純にEoLのみを期日としてライフサイクルを計画するのではなく、計画的なOSバージョンのアップデートは当然として、EoVSなどへの考慮、定常的な脆弱性管理や保守体制が重要ではないでしょうか。
余談ですが、”初期導入時のソフトウェアリリースを、EoLやEoVSに関わらず機器の更改まで継続して使用する”といった環境も往々にして存在するかと思います。使途や構成へも十分に配慮するべきかとは感じますが、当社が実際の攻撃による被害やセキュリティインシデントへ携わらせて頂いた件の多くで、前述したように一切のアップデートや脆弱性の管理も行っていない環境をお見受けしています。
この記事が、ご覧いただいた皆様へ少しでもお役に立てば幸いです。
- ※この記事は筆者個人の見解によるものであり、各メーカー様や当社としての意見や見解を示すものではありません。
- ※この記事に含まれる情報については、その内容について当社として何らの保証をするものではありません。
- ※この記事に含まれる情報を利用したことに起因する、利用者又は第三者が被る直接的及び間接的損害に関して、当社はその責任を一切負いません。
Recruit 採用情報
技能に誇りをもった技術者の皆様を歓迎いたします。
市場価値以上の待遇と、更なる探究の環境を、必ずお約束いたします。
Contact お問い合わせ
当社の業務などに関するお問い合わせを受け付けています。
※エンドユーザー様から直接のご依頼は、原則として受け付けておりません。全てのお問い合わせにお答えできない場合がございますので、ご了承ください。