CVE-2025-20393 悪用：中国支援のAPT UAT-9686による攻撃で悪用されたCisco AsyncOSソフトウェアの最大重大度ゼロデイ脆弱性

2025年が終わろうとする中、またしても重要なCisco ゼロデイ が発生し、先に開示された高深刻度の脆弱性情報に加わりました：Cisco ISEとSE-PICの2つのRCEの欠陥 (CVE-2025-20281とCVE-2025-20282) 及び9月のCisco IOSとIOS XEのゼロデイ (CVE-2025-20352)。最新の検出された Cisco 脆弱性はCVE-2025-20393として特定され、AsyncOS ソフトウェアに影響し、最大深刻度CVSSスコア10.0に達します。欠陥はすでに中国に関連するAPTグループによってUAT-9686として追跡され、積極的に悪用されています。  

ゼロデイ脆弱性の悪用が増加しており、それらをパッチするための時間が短縮され、迅速なアップデートがこれまで以上に重要になっています。 2025年のVerizon DBIRレポート は、脆弱性の悪用を通じた侵害が前年比34%増加していることを強調し、積極的な防御の必要性を示しています。中国に支援されたスパイ活動がこの傾向を推進しており、過去5年間でステルス性と運用セキュリティをより重視するようになっています。 中国に関連するAPT クラスターは、最も速く、最も活発な国家支援のアクターの中であり、公開されたばかりのエクスプロイトをほぼ即座に兵器化し、グローバルなサイバーセキュリティの状況をさらに複雑にしています。

12月初旬、Reactサーバーコンポーネントにおける最大深刻度の脆弱性、 React2Shell、 が複数の中国関連のキャンペーンで悪用されていることが観測され、活動は規模と速度の両方で急速に加速し、ターゲットの範囲を広げています。最近発見されたCisco AsyncOS Softwareにおけるもう一つの最大深刻度の脆弱性 (CVE-2025-20393) がサイバー脅威のアリーナで話題を呼んでおり、防御者には高い警戒が求められています。 

SOC Prime Platformへの登録をすると、世界最大のインテリジェンスデータセットを提供し、検出からシミュレーションまでの完全なパイプラインをカバーすることで、SOCを次のレベルに引き上げ、APT攻撃、悪用キャンペーン、任意の規模と高度を持つサイバー脅威を積極的に防ぐことができます。プレス 検出結果を調査する と、重要なエクスプロイトに対処するための包括的でコンテキストに富んだルールセットにたどり着くことができ、対応する “CVE” タグでフィルターされたものです。

検出結果を調査する

前述のSOCコンテンツは、40以上のSIEM、EDR、およびデータレイクプラットフォームでサポートされ、クロスプラットフォームのコンテンツ利用を可能にし、最新の MITRE ATT&CK® v18.1 フレームワークにマッピングされています。セキュリティチームは、 Uncoder AIを用いることで、ライブの脅威インテリジェンスからのスムーズなルール作成、即時の検出ロジックの改善と検証、攻撃フローの自動ビジュアライゼーション、IOCからハントクエリへの変換、そして複数の言語形式での検出コンテンツのAIによる翻訳を加速させることができます。

CVE-2025-20393分析

Ciscoは最近、 AsyncOSソフトウェアにおけるクリティカルなゼロデイとして追跡されている CVE-2025-20393 が、中国に関連するAPTグループUAT-9686によりアクティブに悪用されており、Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerを標的としていることを、世界の防御者コミュニティに警告しました。

同社は、2025年12月10日にこのキャンペーンを認識したと報告しており、一部のインターネットに曝露されたポートを持つ限定されたサブセットのアプライアンスのみが影響を受けているようです。影響を受けた顧客の総数は不明のままです。

ベンダーによると、この欠陥により脅威アクターは、影響を受けたアプライアンスでルート権限で任意のコマンドを実行することができます。また、調査者は、侵入されたデバイスを制御し続けるための持続性メカニズムが植え付けられている証拠も発見しました。

この脆弱性は未だパッチが適用されておらず、不適切な入力検証に起因しており、攻撃者は基盤となるオペレーティングシステム上で権限を昇格させた形で悪意のあるコマンドを実行することができます。

Cisco AsyncOSの全バージョンが影響を受けていますが、エクスプロイトにはCisco Secure Email GatewayおよびCisco Secure Email and Web Managerの物理および仮想展開の両方において特定の条件が必要です。 スパム隔離 機能をインターネットから利用可能かつ有効化する必要があります – 重要な詳細として、この機能はデフォルトでは無効化されています。Ciscoは管理者に対して、関連するネットワークインターフェース設定を確認することによって、ウェブ管理インターフェースを介してそのステータスを確認することを推奨します。

ベンダーは、少なくとも2025年11月遅くまで脆弱性の悪用活動を遡り、中国に関連するアクターUAT-9686が、この欠陥を悪用してReverseSSH (AquaTunnel) やChiselなどのトンネリングツールを展開し、AquaPurgeと呼ばれるログクリーニングユーティリティを展開していたことを追跡しました。AquaTunnelは以前に多様な中国関連のグループ、包括的には APT41 およびUNC5174と関連付けられています。攻撃者はまた、軽量なPythonバックドアAquaShellを展開し、認証されていないHTTP POSTリクエストを受動的にリッスンし、特別に作成されたペイロードをデコードし、システムシェルを通じてコマンドを実行します。

パッチが利用可能になるまで、Ciscoは影響を受けたアプライアンスを強化し、インターネットへの露出を制限し、信頼されたホストのみを許可するファイアウォールの背後に配置し、メールと管理インターフェースを分離し、メイン管理ポータルへのHTTPアクセスを無効化し、アノマリのあるアクティビティのWebログを厳重に監視することを推奨しています。追加のガイダンスとして、不要なサービスの無効化、SAMLやLDAPなどの強力な認証メカニズムの適用、デフォルトの管理者資格情報の強力なパスワードへの置き換えが含まれます。同社は、確認された侵害シナリオにおいて、アプライアンスを再構築することが現在、攻撃者の持続性を除去する唯一の効果的な方法であると強調しました。

増大する脅威に対抗して、 CISAはCVE-2025-20393を そのKEVカタログに追加し、2025年12月24日までに連邦シビリアン・エグゼクティブ支部機関が緩和措置を実施することを義務付けました。

加えて、 GreyNoiseは報告しました エンタープライズVPNインフラストラクチャを対象とする協調された、自動化されたクレデンシャル・スタッフィング・キャンペーンを検出したことを報告しました。これはCisco SSL VPNおよびPalo Alto Networks GlobalProtectポータルを含みます。この活動は、脆弱性の悪用ではなく、大規模なスクリプト化されたログイン試行を伴うもので、一貫したインフラストラクチャとタイミングから複数のVPNプラットフォームを横断している単一のキャンペーンを示唆しています。

CVE-2025-20393の急速な悪用と、中国にバックアップされたハッキンググループによるアクティブな使用は、世界中の組織に対する追随攻撃のリスクが高まっていることを示唆しています。悪用試行のリスクを最小限に抑えるためには、 SOC PrimeのAIネイティブな検出インテリジェンスプラットフォームに依ることが推奨されており、これは、SOCチームに先端技術と最高のサイバーセキュリティ専門知識を提供し、新たな脅威に先んじつつ運用効率を維持することを可能にします。