Cisco ISEとCitrix製品に未公開のゼロデイ脆弱性 攻撃者が既に悪用：セキュリティニュースアラート

AmazonはCisco ISEとCitrix製品の未公開ゼロデイ脆弱性が高度な攻撃者によって悪用されていた事実を明らかにした。攻撃者は修正前から欠陥を突いていたとされる。重要インフラへの脅威が増大しており、多層防御強化が求められている。

[後藤大地，ITmedia]

　Amazonは2025年11月12日（現地時間）、Cisco Systems（以下、Cisco）の製品「Cisco ISE」およびCitrix製品に存在していた未公開のゼロデイ脆弱（ぜいじゃく）性を高度な攻撃者が悪用していた事実を明らかにした。

　Amazonの脅威分析部門が調査を進めた結果、Cisco ISEに存在していた未修正の欠陥と、Citrix製品に存在していた脆弱性「CVE-2025-5777」（CVSS：9.3）を攻撃者が悪用していたことが確認されている。

Cisco ISEとCitrixに未公開ゼロデイ悪用　高度な攻撃をAmazonが確認

　Citrix製品については、CVE-2025-5777が公表される前に悪用が始まっていたとされ、この欠陥を突く通信がAmazonのハニーポット「MadPot」で確認されている。Amazonはこの攻撃の調査を実施した過程で、Cisco ISEに送信されていた不審なペイロードを発見している。

　このペイロードはCisco ISEの未公開エンドポイントを標的としており、当時は脆弱性として指定されていなかった。Amazonは内容をCiscoに共有し、Ciscoは分析を経てCVE-2025-20337（CVSS：10.0）として扱うことを決定。この欠陥は認証前リモートコード実行につながる問題であり、攻撃者が管理者権限相当の操作を可能にする状況にあった。

　Amazonの報告によると、Cisco ISEの欠陥もCVE番号の付与前、もしくは修正が十分に展開される前から悪用が始まっており、修正の進行状況を把握した上で欠陥を突く手法が使われている。攻撃者は侵入後、Cisco ISEの正規コンポーネントを装った独自のWebシェルを展開したとされ、メモリで動作し、Javaのリフレクション機能を利用して稼働中スレッドに自身を組み込む仕組みだった。

　このWebシェルは「Apache Tomcat」全体のHTTP通信を監視し、DES暗号化と非標準のBase64処理を採用し、特定のHTTPヘッダを理解している者のみが操作可能な状態にあったという。

　Amazonは攻撃者がCisco ISEの内部構造やJavaアプリケーションの挙動に精通している点に加え、未公開の欠陥を複数所持していた可能性を指摘している。これらの特徴から、攻撃者が高度な分析能力を備えているか、外部から非公開情報を得ていた可能性があるとみられる。

　Amazonは、今回の事例が示すように脅威者が認証基盤やアクセス制御基盤といった重要インフラに着目する傾向が強まっていると指摘している。認証前に成立する攻撃であった点は、設定や保守が適正であっても侵入を受ける余地が残ることを意味する。各組織は、特権的なセキュリティ機器への到達経路を制限し、異常行動を検知可能な多層的防御の整備が必要とAmazonは助言している。