Cisco Secure Email製品にCVSS 10.0の重大な脆弱性 中国系APTによる攻撃か：セキュリティニュースアラート

Cisco Talosは、Cisco Secure Email製品を標的とした攻撃キャンペーンを確認した。攻撃者は深刻な脆弱性を悪用し、Python製バックドアで永続化を図った可能性がある。

[後藤大地，ITmedia]

　Cisco Systems（以下、Cisco）のセキュリティ研究機関「Talos」は2025年12月17日（現地時間、以下同）、「Cisco Secure Email Gateway」および「Cisco Secure Email and Web Manager」を標的としたサイバー攻撃キャンペーンを確認したと報じた。

　これらの製品はいずれも「Cisco AsyncOS Software」を基盤として動作しており、Talosは同キャンペーンを主導する攻撃グループを「UAT-9686」と名付けて追跡している。

Cisco製品にCVSS 10.0の脆弱性　悪用する中国の攻撃グループも確認

　同キャンペーンは2025年11月下旬以降に継続しており、Ciscoが2025年12月10日に同活動を把握した。攻撃者は影響を受けたアプライアンスでシステムレベルのコマンドを実行し、Pythonベースの永続的なバックドアを展開する能力を有しているとされる。Talosは、観測された手口や使用ツール、インフラの特徴から、中国に関連するとみられる持続的標的型攻撃（APT）アクターである可能性は中程度だと評価している。

　同攻撃においては「AquaShell」と呼ばれる独自の永続化メカニズムが使用されているという。AquaShellは軽量なPython製バックドアとされ、PythonベースのWebサーバ内の既存ファイルに埋め込まれる構造を持つ。認証を必要としないHTTPのPOSTリクエストを待ち受け、特定形式のデータを受信すると、独自の復号処理とBase64デコードを経てシステムシェルでコマンドを実行する。分析によれば、AquaShellは「/data/web/euq_webui/htdocs/index.py」に配置されることが確認されている。

　この攻撃活動では複数の補助ツールも確認されている。「AquaTunnel」は、オープンソースのReverseSSHを基にしたGo言語製のELFバイナリで、侵害された機器から攻撃者が管理するサーバに逆方向のSSH接続を確立する。「Chisel」はHTTPベースの単一ポート接続でTCPやUDPのトンネルを構成するオープンソースツールで、内部環境への通信経路を形成する用途で利用される。「AquaPurge」はログファイルから特定のキーワードを含む行を削除するユーティリティーとされ、痕跡の削減を目的として使われる。

　侵害が確認されたのは特定の非標準的な構成を持つアプライアンスだ。Cisco Secure Email and Web Managerは、複数の「Email Security Appliance」や「Web Security Appliance」を一元的に管理し、スパム隔離やポリシー管理、レポート、設定管理などの機能を提供する製品だが、同キャンペーンではインターネットに公開されたスパム隔離機能の脆弱性が悪用された可能性がある。

　Ciscoは同日、セキュリティアドバイザリーを公開した。アドバイザリーによると、インターネットから到達可能な状態でスパム隔離機能が有効化されている一部のCisco Secure Email GatewayおよびCisco Secure Email and Web Managerが攻撃対象となる。攻撃者は基盤となるOSでroot権限の任意コマンドを実行できるとされる。同脆弱性はCVE-2025-20393が割り振られ、CVSS v3.1のスコアは10.0（Critical）と評価されている。

　Ciscoは全てのAsyncOSのリリースが影響を受ける可能性があるとし、アドバイザリーに記載された手順に従い評価と対策を実施するよう求めている。侵害を受けた場合、Cisco TACへの連絡が推奨されており、侵害が確認された際にはアプライアンスの再構築が必要になる。Cisco Secure Email Cloudは本件の影響を受けないことも明らかにされている。