CVE-2025-20393は、以下のCisco AsyncOSの導入に関連した最大重大度のセキュリティ問題である。 シスコセキュアメールゲートウェイ(SEG) そして Cisco Secure Email and Web Manager (SEWM).核心的なリスクは、攻撃者が以下を実行できることだ。 root権限による任意のシステムコマンド そして、その証拠に、それは すでに悪用されている. (NVD)
防御側の視点に立てば、これは最悪の場所に位置する。SEG/SEWMアプライアンスは、信頼され、半透明で、運用上「特別」な存在になりがちで、コモディティサーバよりもパッチ適用が遅く、監視の範囲も狭く、メールフローや管理ネットワークへの幅広いリーチが認められていることが多い。エッジ・アプライアンスが攻撃者の支配下にあるホストとなった場合、それは単なるエンドポイントのインシデントではなく、重要なポイントとなります。
この記事では、ハードコアなセキュリティ・エンジニアにとって実際に重要なことに焦点を当てます:暴露条件、侵害後の手口、高シグナル検出のアイデア、パッチがまだ利用できない場合でも実行できる現実的な封じ込め手順などです。
CVE-2025-20393はどのような脆弱性ですか?
分類レベルでは、NVDはCVE-2025-20393を次のように記録している。 CWE-20:不適切な入力検証である。 CVSS v3.1 ベースベクタ ネットワーク攻撃、特権不要、ユーザー操作なし、完全な侵害の影響を示す。(NVD)
実際のところ、複数の情報源はその影響を次のようにまとめている: root 権限で認証されていないコマンドをリモートで実行する。 影響を受けるアプライアンスの基礎となるオペレーティングシステム上の(シスコ・タロス・ブログ)
NVDもCISA KEVのアップデートを示している: 追加日:2025-12-17; 期限:2025-12-24また、ベンダーの緩和策を適用するか、緩和策が利用できない場合は使用を中止する必要がある。(NVD)
影響を受ける製品と実際の暴露条件
重要なのは、AsyncOSのバージョンは広範に関与しているが、観測された悪用は以下のものに集中しているということだ。 限定部分集合 家電製品の 非標準構成-具体的には スパム隔離 が有効で、インターネットに公開されている。(ブリーピングコンピューター)
いくつかの報告書は次のように強調している。 スパム隔離はデフォルトでは有効になっていません。つまり、多くの環境は、コンフィギュレーションの選択、ドリフト、あるいは便宜的な "一時的な "暴露が恒久的になった場合にのみ、脆弱になるということだ。(ヘルプ・ネット・セキュリティ)
影響をトリアージするなら、推測は禁物だ。最初の仕事は、2つの質問に証拠を持って答えることだ:
- SEGとSEWMのどちらを使うか(物理的か仮想的か)?
- スパム隔離または Web 管理インターフェイスは、信頼できないネットワークからアクセス可能ですか?
両方の答えが「イエス」なら、そうでないことが証明されるまでは、これを事件として扱う。
このCVEが運用上厄介な理由:観察された侵入の連鎖とツーリング
シスコ・タロスは、このアクティビティ(以下 中程度の信頼)として追跡している中国系の脅威行為者である。 UAT-9686そして、このキャンペーンは少なくとも次の時期から続いている。 2025年11月下旬シスコは次のように考えている。 2025年12月10日. (シスコ・タロス・ブログ)
防御者に関係するのは、最初のアクセスの後に起こることである。Talosは、永続化、トンネリング、アンチフォレンジックのために構築されたツールチェーンについて説明している:
- アクアシェルPythonベースのウェブサーバ内の既存のファイルに埋め込まれた、軽量のPythonバックドアです。受動的に 認証されていないHTTP POST 特別に細工されたデータを含むリクエストの内容を解読し、システムシェルでコマンドを実行する。Talos社によれば
/data/web/euq_webui/htdocs/index.py. (シスコ・タロス・ブログ) - アクアパージを使用して、指定したログファイルから特定のキーワードを含むログ行を削除します。
イグレップスタイル・フィルタリングで "きれいな "線を保ち、それを書き戻す。(シスコ・タロス・ブログ) - アクアトンネルに基づいてコンパイルされたGoバイナリ。 リバースSSH攻撃者のインフラにSSHで逆接続するために使われる。(シスコ・タロス・ブログ)
- チゼルHTTP ベースの単一接続で TCP/UDP トンネルをサポートするオープンソースのトンネリングツールで、エッジデバイスを介したプロキシやピボットに便利です。(シスコ・タロス・ブログ)
これは、対応姿勢を変えることになるため、重要である。アクターのプレイブックに永続化インプラントとログ操作が含まれている場合、ローカルログの部分的な盲検化を想定し、以下のものに依存するように計画する必要があります。 外部テレメトリ (ファイアウォール・ログ、プロキシ・ログ、NetFlow、DNS ログ)により、アプライアンスが攻撃者のインフラと通信しているかどうかを検証します。
高信号IOCとその対処法
Talosは、ツール(AquaTunnel、AquaPurge、Chisel)とキャンペーンに関連するIPアドレスの小さなセットのSHA-256ハッシュの例を公開し、完全なIOCセットのためのGitHubリポジトリを指しています。(シスコ・タロス・ブログ)
実践的なエンジニアのアプローチは、IOCを次のように扱うことである。 高速トリアージ・アクセラレーター決定的な証拠ではない:
- ポジティブ・ヒット ツールのハッシュまたは既知のIPについて:直ちにエスカレーションを行い、証拠を保全し、ベンダーのケースをオープンし、再構築/復元を計画する。
- ネガティブ・ヒットアクターはインフラをローテーションし、AquaShellは被害者間でハッシュが同一ではないかもしれないからだ)。(シスコ・タロス・ブログ)
以下は、搾取を引き起こすことなく実行できる「安全な」チェックの例である。
1) ファイルの完全性チェック(出発点)
# Talosが言及したWeb UIファイルのタイムスタンプとパーミッションをチェックする
stat /data/web/euq_webui/htdocs/index.py
# ハッシュ化し、既知の良好なベースライン(あれば)と比較します。
sha256sum /data/web/euq_webui/htdocs/index.py
# バックアップや設定スナップショットを取っている場合は、バージョンを比較します。
diff -u /path/to/known-good/index.py /data/web/euq_webui/htdocs/index.py || trueTalosはこのパスをAquaShellが置かれる場所として明示的に指定します。(シスコ・タロス・ブログ)
2) 外部ログのアウトバウンドIOCスイープ(推奨)
# 例:grep for known IPs in exported logs (パスをテレメトリに置き換える)
grep -RIn --binary-files=without-match \
-E "172\\.233\\.67\\.176|172\\.237\\.29\\.147|38\\.54\\.56\\.95"\\
/var/log 2>/dev/null | head -n 200上記のIPは、キャンペーンに関連するものとしてタロス社が公表しているものである。(シスコ・タロス・ブログ)
3) "珍しいPOST "ハンティング(ベストエフォート、オーバーフィットは禁物)
# 上記のパスパターンに触れるWeb POSTアクティビティを検索する(ログが存在する場合)。
grep -RIn --binary-files=without-match ¦ -E "POST|/euq_webui/|/htdocs/INDEX
-E "POST|/euq_webui/|/htdocs/index.
/var/log 2>/dev/null | head -n 200Talosによると、AquaShellの動作は、エンコードされたコマンドコンテンツを運ぶ認証されていないHTTP POSTリクエストに依存している。(シスコ・タロス・ブログ)
露出と優先順位:現場ですぐに使える決定表
| 状況 | 妥協の可能性 | 優先順位 | 早急な対応 |
|---|---|---|---|
| スパム隔離を有効にする そして インターネットに接続可能 | 非常に高い | P0 | ベンダーの緩和策に従う。 |
| インターネットに接続可能なウェブ管理インターフェース | 高い | P0 | 信頼できるホスト/VPNに制限する。 |
| インターネットに接続されていないが、幅広いパートナー/ベンダー・ネットワークからアクセス可能 | ミディアム | P1 | ACL範囲の縮小、セグメンテーションの検証、異常の調査 |
| 完全な内部統制、厳重な制限、強力な管理統制 | より低い | P2 | アドバイザリ更新の監視、ベースラインの完全性、管理の強化 |
この優先順位付けは、世間一般のコンセンサスと一致している。 スパム隔離が有効で、公開されている そして 非標準構成. (ブリーピングコンピューター)
パッチがまだない場合の緩和策
ランゼロのまとめ(2025年12月17日更新)より、 現在、修正パッチは提供されていません。を無効にすることを推奨している。 スパム隔離 また、脆弱なシステムをネットワーク・アクセス・コントロールの背後に隔離する。(ランゼロ)
BleepingComputerの報道では、同様にCiscoが管理者に対して、アクセス制限(インターネットアクセスの制限、信頼できるホストへの制限、ファイアウォールの背後にアプライアンスを置く)、ログの保持、メール処理と管理機能の分離、強力な認証方法の使用といった運用上の衛生管理についてアドバイスしていると伝えている。(ブリーピングコンピューター)
戦略目標はシンプルだ: 攻撃面を崩す 攻撃者がそれをスキャンして悪用するよりも速い。
チームが今日から実行できる、実践的な緩和の手順:
- インターネットへの露出を減らす をスパム検疫およびあらゆる管理サーフェスに送信します。
- 管理アクセスを制限する を狭い許可リストに追加する(VPN + bastionのみ)。
- 役割分担管理プレーンは、メール処理と同じ暴露プレーンであってはならない。(ブリーピングコンピューター)
- ログと外部テレメトリーの保存 Talosはログパージツール(AquaPurge)を文書化しているので、ローカルのアーティファクトは不完全かもしれないと思ってください。(シスコ・タロス・ブログ)
- 完全性チェックの実行 Talosが言及しているWeb UIのパスで、トンネル・ツールを探す。(シスコ・タロス・ブログ)
- 妥協の兆候がある場合、 Cisco TACケースを開く (シスコとカバレッジは、侵害の検証と対応にこの経路を推奨している)。(ブリーピングコンピューター)
リビルドと "そのままクリーニング":家電の現実を正直に語る
セキュリティ・エンジニアは、「再構築」という言葉を破壊的なので嫌いますが、境界アプライアンスは独特です。ウェブ・コンポーネントに永続性が埋め込まれており、ログの整合性が疑わしい場合、「クリーニング」に何日も費やしても、バックドアが残ってしまう可能性があります。
公表された報告によると、シスコの立場は、妥協が確認された場合である、 家電製品の再建は、現在のところ唯一の実行可能な選択肢である 永続性メカニズムを根絶する。(ヘルプ・ネット・セキュリティ)
緩和」と「根絶」は異なる状態として扱う。緩和はドアを閉じること。根絶は、攻撃者がまだ内部にいないことを証明する。
AIを活用したセキュリティ・ワークフローが役立つ分野
どのインスタンスが公開され、どの設定ノブが変更され、どのログが保持され、アウトバウンドの接続が公開された IOC と一致しているかどうか、そして最終的なセキュリティ体制はどうなっているかなどです。
AI主導のプラットフォームが、魔法のように見せかけることなく、実際に価値を付加できるのはこの点だ:
- 露出検証(「スパム隔離は信頼できないネットワークから到達可能か」)をスケジュールに従って自動化する
- 公開されたIOCを、SIEM、ファイアウォール・ログ、エンドポイント・テレメトリーにまたがる反復可能なハントに変換する。
- CISOとエンジニアの双方が信頼できる、証拠第一のインシデント報告書の作成
既にPenligentをセキュリティ自動化のために使用しているのであれば、ここでの適合は簡単である。 コンフィギュレーション+リーチャビリティ+テレメトリ・チェック そしてIRのための構造化されたエビデンス・パックを発行する。最良の結果は「AIの搾取」ではなく、盲点を減らし、より迅速で信頼性の高い決断を下すことである。
参考文献
https://nvd.nist.gov/vuln/detail/CVE-2025-20393
https://www.cve.org/CVERecord?id=CVE-2025-20393
https://blog.talosintelligence.com/uat-9686
https://www.runzero.com/blog/cisco-secure-email-gateway
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://cwe.mitre.org/data/definitions/20.html
https://github.com/Fahrj/reverse-ssh
