Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
12月10日、シスコは新しいサイバー攻撃キャンペーンを知りました。このキャンペーンは、インターネットに開いている特定のポートを持つアプライアンスのうち、Cisco AsyncOSソフトウェアfor Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerを実行しているアプライアンスの一部を対象としています。この攻撃により、脅威アクターは、影響を受けるアプライアンスの基盤となるオペレーティングシステム上でroot権限で任意のコマンドを実行できるようになります。調査を続けていることで、侵害されたアプライアンスに対して一定の制御を維持するために、脅威アクターによって永続性のあるメカニズムが埋め込まれていることが明らかになりました。
シスコは、サイバー攻撃キャンペーンの一環として、脅威アクターによって悪用された脆弱性を修復しました。この脆弱性の詳細については、このアドバイザリの「詳細情報」のセクションを参照してください。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
シスコは、このアドバイザリの推奨事項セクションに記載されているガイダンスに従って、リスクを評価し、リスクを軽減することを強く推奨します。
Cisco Talosは、ブログ記事UAT-9686で、これらの攻撃についてCisco Secure Email GatewayとSecure Email and Web Managerをアクティブに標的にしていると述べています。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4
該当製品
シスコは、この攻撃キャンペーンに関する現在の調査を終了しました。シスコは、より多くの情報が入手可能になり次第、このアドバイザリを適宜更新しますが、現在のところ更新の予定はありません。
この攻撃キャンペーンは、Cisco Secure Email Gateway(物理と仮想の両方)とCisco Secure Email and Web Managerアプライアンス(物理と仮想の両方)を対象とし、次の条件がすべて満たされていることを確認します。
- アプライアンスでCisco AsyncOSソフトウェアの脆弱なリリースが実行されている。
- アプライアンスにスパム検疫機能が設定されている。
- スパム検疫機能はインターネットに公開されており、インターネットから到達可能です。
脆弱性のある製品
脅威アクターによって不正利用される脆弱性は、Cisco Secure Email Gateway(物理と仮想の両方)およびCisco Secure Email and Web Managerアプライアンスに影響を与えます。これは、アプライアンスがスパム検疫機能を使用して設定されている場合に影響を受けます(デフォルトでは有効になっていません)。これらの製品の導入ガイドでは、この機能をインターネットに直接公開する必要はありません。
脆弱性が存在する Cisco ソフトウェアリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
Cisco Secure Email Gatewayアプライアンスでスパム検疫が有効になっているかどうかを確認する
アプライアンスでスパム検疫機能が設定され有効になっているかどうかを確認するには、Web管理インターフェイスに接続し、Network > IP Interfaces > [Select the Interface on the Spam Quarantine is configured]の順にメニューします。スパム検疫の横にあるチェックボックスをオンにすると、この機能が有効になります。
Cisco Secure Email and Web Managerアプライアンスでスパム検疫が有効になっているかどうかを確認する
アプライアンスでスパム検疫機能が設定され有効になっているかどうかを確認するには、Web管理インターフェイスに接続し、管理アプライアンス>ネットワーク > IPインターフェイス> [スパム検疫が設定されているインターフェイスを選択してください]。スパム検疫の横にあるチェックボックスをオンにすると、この機能が有効になります。
脆弱性を含んでいないことが確認された製品
このアドバイザリの脆弱性のある製品セクションにリストされている製品だけがこの脆弱性の影響を受けることが知られています。
シスコは、Cisco Secure Email Cloudの一部であるすべてのデバイスが影響を受けないことを確認しました。
シスコでは、Cisco Secure Webに対する不正利用行為は確認しておりません。
詳細
シスコは、サイバー攻撃キャンペーンの一環として、脅威アクターによって不正利用される脆弱性を修正しました。この脆弱性の詳細は次のとおりです。
CVE-2025-20393:Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerのリモートコマンド実行の脆弱性
Cisco Secure Email GatewayおよびCisco Secure Email and Web Manager用のCisco AsyncOSソフトウェアのスパム隔離機能における脆弱性により、認証されていないリモートの攻撃者が該当デバイスでルート権限を使用して任意のシステムコマンドを実行する可能性があります。
この脆弱性は、スパム検疫機能によるHTTP要求の検証が不十分であることに起因します。攻撃者は、該当デバイスに巧妙に細工された HTTP 要求を送信することにより、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、攻撃者はroot権限を使用して、基盤となるオペレーティングシステムで任意のコマンドを実行できる可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
バグID: CSCws36549、CSCws52505
CVE ID:CVE-2025-20393
セキュリティ影響評価(SIR):致命的
CVSS ベーススコア:10.0
CVSS ベクトル:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
セキュリティ侵害の痕跡
このアドバイザリで説明されている攻撃キャンペーンの一環として、脅威アクターは、侵害されたアプライアンスへのリモートアクセスに使用する持続的な隠れたチャネルを埋め込みました。
アプライアンスが侵害されたかどうかを明示的に確認したいお客様は、Cisco Technical Assistance Center(TAC)でサービスリクエストをオープンできます。潜在的な侵害の調査を迅速に進めるために、影響を受けるアプライアンスでリモートアクセスが有効になっていることを確認します。詳細なガイダンスについては、こちらのテクニカルノートを参照してください。
シスコは、このアドバイザリの「推奨事項」セクションに記載されているガイダンスに従うことを強く推奨します。
回避策
この攻撃キャンペーンに関するリスクを直接軽減する回避策は確認されていませんが、管理者はこのアドバイザリの「推奨事項」セクションに記載されているガイダンスを参照してその指示に従うことができます。
修正済みソフトウェア
修正済みリリース
次の表では、左の列にシスコソフトウェアのリリースを記載しています。右側の列は、リリースがこのアドバイザリに記載されている脆弱性の影響を受けるかどうか、およびこの脆弱性に対する修正を含む最初のリリースを示しています。このセクションの表に記載されている適切な修正済みソフトウェアリリースにアップグレードすることをお勧めします。
Cisco Eメールセキュリティゲートウェイ
| Cisco AsyncOS ソフトウェアリリース | First Fixed Release(修正された最初のリリース) |
|---|---|
| 14.2 以前 | 15.0.5-016 |
| 15.0 | 15.0.5-016 |
| 15.5 | 15.5.4-012 |
| 16.0 | 16.0.4-016 |
Cisco Secure Email and Web Manager
| Cisco AsyncOS ソフトウェアリリース | First Fixed Release(修正された最初のリリース) |
|---|---|
| 15.0 以前 | 15.0.2-007 |
| 15.5 | 15.5.4-007 |
| 16.0 | 16.0.4-010 |
ソフトウェアは、アプライアンスのWebベース管理インターフェイスのシステムアップグレードオプションを使用して、ネットワーク経由でアップグレードできます。
Webベースの管理インターフェイスを使用してデバイスをアップグレードするには、次の手順を実行します。
- [システム管理(System Administration)] > [システムアップグレード(System Upgrade)] を選択します。
- [アップグレード(Upgrade)] オプションをクリックします。
- Download and Installをクリックします。
- アップグレードするリリースを選択します。
- [アップグレード準備(Upgrade Preparation)] 領域で、適切なオプションを選択します。
- [続行(Proceed)] をクリックすると、アップグレードが始まります。アップグレードのステータスを示す経過表示バーが表示されます。
アップグレードが完了すると、デバイスがリブートします。
CLIを使用してデバイスをアップグレードするには、次の手順を実行します。
- upgradeと入力します。
- DOWNLOADINSTALLを選択します。
- アップグレードするリリースを選択します。
- アップグレードプロセス全体を通じて適切なオプションを選択します。
アップグレードが完了すると、デバイスがリブートします。
Cisco Secure Email Cloudには、サービスソリューションの一部として、Cisco Secure Email GatewayとCisco Secure Email & Web Managerデバイスが含まれています。シスコは、このソリューションに含まれる製品について、定期的なメンテナンスを行っています。また、Cisco Secure Email Cloudのサポートに連絡して、ソフトウェアのアップグレードをリクエストすることもできます。
シスコの Product Security Incident Response Team(PSIRT; プロダクト セキュリティ インシデント レスポンス チーム)は、このアドバイザリに記載されている該当するリリース情報と修正済みリリース情報のみを検証します。
不正利用事例と公式発表
2025年12月、Cisco Product Security Incident Response Team(PSIRT)は、Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerアプライアンスを対象とした潜在的な悪意のあるアクティビティを検出しました。
出典
この脆弱性は Cisco Cisco Technical Assistance Center(TAC)サポートケースの解決中に発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 2.0 | コードリリースに対するCisco Business Unitの修正に対応しています。脆弱性に関する情報を追加。CSCws52505を追加。該当製品を更新し、修正済みリリースを追加。 | ヘッダー、概要、該当製品、修正済み製品 | Final | 2026年1月15日 |
| 1.0 | 初回公開リリース | — | Interim | 2025年12月17日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。