Cisco Secure Firewall ASA および Cisco Secure FTD に脆弱性、一度侵害された場合は修正版にアップデート後でも永続的な攻撃を可能とする機能が埋め込まれている可能性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月27日、Cisco Secure Firewall ASAおよびCisco Secure FTDの脆弱性について発表した。影響を受けるシステムは以下の通り。
Cisco ASA Software 9.16.4.84 より前の 9.16 系のバージョン Cisco ASA Software 9.17.1.45 より前の 9.17 系のバージョン Cisco ASA Software 9.18.4.47 より前の 9.18 系のバージョン Cisco ASA Software 9.19.1.37 より前の 9.19 系のバージョン Cisco ASA Software 9.20.3.7 より前の 9.20 系のバージョン Cisco ASA Software 9.22.1.3 より前の 9.22 系のバージョン Cisco ASA Software 9.23.1.3 より前の 9.23 系のバージョン Cisco FTD Software 7.0.8 より前の 7.0 系のバージョン Cisco FTD Software 7.2.9 より前の 7.2 系のバージョン(7.1 系のバージョンも含む) Cisco FTD Software 7.4.2.3 より前の 7.4 系のバージョン(7.3 系のバージョンも含む) Cisco FTD Software 7.6.1 より前の 7.6 系のバージョン Cisco FTD Software 7.7.10 より前の 7.7 系のバージョン
シスコシステムズ合同会社が提供するファイアウォール製品「Cisco Secure Firewall ASA」および「Cisco Secure FTD」では、リモートからのコード実行の脆弱性およびアクセス制限不備の脆弱性が確認されており、これらの脆弱性を組み合わせて悪用された場合、遠隔の第三者により任意のコードが実行されたり、サービス運用妨害(DoS)の被害を受ける可能性がある。
IPA及びJPCERT/CCでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。開発者は、本脆弱性を修正した下記のバージョンをリリースしている。
Cisco ASA Software 9.16.4.85 あるいはそれ以降 Cisco ASA Software 9.18.4.67 あるいはそれ以降(9.17 系のバージョンも含む) Cisco ASA Software 9.19.1.42 あるいはそれ以降 Cisco ASA Software 9.20.4.10 あるいはそれ以降 Cisco ASA Software 9.22.2.14 あるいはそれ以降 Cisco ASA Software 9.23.1.19 あるいはそれ以降 Cisco FTD Software 7.0.8.1 あるいはそれ以降 Cisco FTD Software 7.2.10.2 あるいはそれ以降(7.1 系のバージョンも含む) Cisco FTD Software 7.4.2.4 あるいはそれ以降(7.3 系のバージョンも含む) Cisco FTD Software 7.6.2.1 あるいはそれ以降 Cisco FTD Software 7.7.10.1 あるいはそれ以降
なお、製品開発者は2026年4月23日に、本件脆弱性に関連する攻撃活動について情報発信を行っており、それによると本件の脆弱性を悪用して一度侵害された場合、修正版へのアップデート後であっても、攻撃を防ぐことができない(永続的な攻撃を可能とする)機能が埋め込まれている可能性があるという。
JPCERT/CCでは、4月27日時点で本脆弱性の影響を受けるホストが国内で多数存在していることを確認しており、また、本脆弱性に対する修正バージョン公開前に侵害が発生していた可能性がある事例が海外では指摘されており、当時修正を適用済みであっても侵害が機器内に潜伏・持続している可能性がある点に注意が必要としている。
JPCERT/CCでは、侵害が確認された場合、再イメージ化の上、Ciscoが提供する最新の修正済みバージョンやホットフィックスを適用することが推奨されており、詳細はCiscoが提供する最新の情報を参照するよう案内している。
Cisco ASA Software 9.16.4.84 より前の 9.16 系のバージョン Cisco ASA Software 9.17.1.45 より前の 9.17 系のバージョン Cisco ASA Software 9.18.4.47 より前の 9.18 系のバージョン Cisco ASA Software 9.19.1.37 より前の 9.19 系のバージョン Cisco ASA Software 9.20.3.7 より前の 9.20 系のバージョン Cisco ASA Software 9.22.1.3 より前の 9.22 系のバージョン Cisco ASA Software 9.23.1.3 より前の 9.23 系のバージョン Cisco FTD Software 7.0.8 より前の 7.0 系のバージョン Cisco FTD Software 7.2.9 より前の 7.2 系のバージョン(7.1 系のバージョンも含む) Cisco FTD Software 7.4.2.3 より前の 7.4 系のバージョン(7.3 系のバージョンも含む) Cisco FTD Software 7.6.1 より前の 7.6 系のバージョン Cisco FTD Software 7.7.10 より前の 7.7 系のバージョン
シスコシステムズ合同会社が提供するファイアウォール製品「Cisco Secure Firewall ASA」および「Cisco Secure FTD」では、リモートからのコード実行の脆弱性およびアクセス制限不備の脆弱性が確認されており、これらの脆弱性を組み合わせて悪用された場合、遠隔の第三者により任意のコードが実行されたり、サービス運用妨害(DoS)の被害を受ける可能性がある。
IPA及びJPCERT/CCでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。開発者は、本脆弱性を修正した下記のバージョンをリリースしている。
Cisco ASA Software 9.16.4.85 あるいはそれ以降 Cisco ASA Software 9.18.4.67 あるいはそれ以降(9.17 系のバージョンも含む) Cisco ASA Software 9.19.1.42 あるいはそれ以降 Cisco ASA Software 9.20.4.10 あるいはそれ以降 Cisco ASA Software 9.22.2.14 あるいはそれ以降 Cisco ASA Software 9.23.1.19 あるいはそれ以降 Cisco FTD Software 7.0.8.1 あるいはそれ以降 Cisco FTD Software 7.2.10.2 あるいはそれ以降(7.1 系のバージョンも含む) Cisco FTD Software 7.4.2.4 あるいはそれ以降(7.3 系のバージョンも含む) Cisco FTD Software 7.6.2.1 あるいはそれ以降 Cisco FTD Software 7.7.10.1 あるいはそれ以降
なお、製品開発者は2026年4月23日に、本件脆弱性に関連する攻撃活動について情報発信を行っており、それによると本件の脆弱性を悪用して一度侵害された場合、修正版へのアップデート後であっても、攻撃を防ぐことができない(永続的な攻撃を可能とする)機能が埋め込まれている可能性があるという。
JPCERT/CCでは、4月27日時点で本脆弱性の影響を受けるホストが国内で多数存在していることを確認しており、また、本脆弱性に対する修正バージョン公開前に侵害が発生していた可能性がある事例が海外では指摘されており、当時修正を適用済みであっても侵害が機器内に潜伏・持続している可能性がある点に注意が必要としている。
JPCERT/CCでは、侵害が確認された場合、再イメージ化の上、Ciscoが提供する最新の修正済みバージョンやホットフィックスを適用することが推奨されており、詳細はCiscoが提供する最新の情報を参照するよう案内している。
Vocabulary
General
Proper noun
JLPT N2
JLPT N1
| # | 言葉 | 意味 |
|---|---|---|
| 17 | 系 | けい (系) : 1. system; lineage; group 2. corollary |
| 11 | あるいは | あるいは (或いは) : 1. or; either ... or 2. maybe; perhaps; possibly |
| 11 | 以降 | いこう (以降) : on and after; as from; hereafter; thereafter; since |
| 9 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 5 | 含む | ふくむ (含む) : 1. to contain; to comprise; to have; to hold; to include; to embrace 2. to hold in the mouth |
| 5 | 修正 | しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix |
| 4 | および | および (及び) : and; as well as |
| 4 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 4 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 4 | 侵害 | しんがい (侵害) : infringement; violation; invasion; encroachment; trespass |
| 3 | 確認 | かくにん (確認) : confirmation; verification; validation; review; check; affirmation; identification |
| 3 | 開発者 | かいはつしゃ (開発者) : developer |
| 3 | 攻撃 | こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation |
| 2 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 2 | 実行 | じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization |
| 2 | 悪用 | あくよう (悪用) : abuse; misuse; perversion |
| 2 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 2 | 本件 | ほんけん (本件) : this matter; this case |
| 2 | 適用 | てきよう (適用) : applying (e.g. a technology); adoption |
| 2 | 済み | ずみ (済み) : arranged; taken care of; settled; completed; finished |
| 2 | 最新 | さいしん (最新) : latest; newest; late-breaking (news) |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 合同会社 | ごうどうかいしゃ (合同会社) : limited liability company; LLC; GK; company structure for small businesses, established in 2005 |
| 1 | 制限 | せいげん (制限) : restriction; restraint; limitation; limit |
| 1 | 不備 | ふび (不備) : 1. defect; deficiency; imperfection; inadequacy; lack 2. Yours in haste |
| 1 | 組み合わせる | くみあわせる (組み合わせる) : to join together; to combine; to join up |
| 1 | 遠隔 | えんかく (遠隔) : distant; remote; isolated |
| 1 | 第三者 | だいさんしゃ (第三者) : third party; third person; outsider; disinterested person |
| 1 | 任意 | にんい (任意) : 1. optional; voluntary; arbitrary; random; discretionary; facultative; spontaneous; any 2. arbitrary |
| 1 | 運用 | うんよう (運用) : 1. making use of; application; practical use; effective management (e.g. of funds) 2. operation; handling; steering (esp. a boat) |
| 1 | 妨害 | ぼうがい (妨害) : disturbance; obstruction; hindrance; jamming; interference |
| 1 | 被害 | ひがい (被害) : (suffering) damage; injury; harm |
| 1 | 及び | および (及び) : and; as well as |
| 1 | もと | もと (元) : 1. origin; source 2. base; basis; foundation; root |
| 1 | 最新版 | さいしんばん (最新版) : latest version; latest edition |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |
| 1 | 下記 | かき (下記) : the following |
| 1 | なお | なお (尚) : 1. still; yet 2. more; still more; greater; further |
| 1 | 関連 | かんれん (関連) : relation; connection; relevance |
| 1 | 活動 | かつどう (活動) : 1. activity (of a person, organization, animal, volcano, etc.); action 2. movie (esp. during the silent movie period) |
| 1 | 情報発信 | じょうほうはっしん (情報発信) : information transmission |
| 1 | 版 | はん (版) : 1. edition; version; printing; impression; implementation (e.g. software) 2. plate; block; cast |
| 1 | 防ぐ | ふせぐ (防ぐ) : 1. to defend against; to protect against 2. to prevent; to avert; to avoid |
| 1 | 永続 | えいぞく (永続) : permanence; continuation |
| 1 | 可能 | かのう (可能) : possible; potential; practicable; feasible |
| 1 | 機能 | きのう (機能) : function; facility; faculty; feature |
| 1 | 埋め込む | うめこむ (埋め込む) : to bury; to embed; to implant |
| 1 | 時点 | じてん (時点) : point in time; occasion |
| 1 | 国内 | こくない (国内) : internal; domestic |
| 1 | 多数 | たすう (多数) : 1. large number (of); many 2. majority |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 発生 | はっせい (発生) : 1. outbreak; spring forth; occurrence; incidence 2. generation (e.g. of power or heat); genesis; origin |
| 1 | 事例 | じれい (事例) : example; precedent; case |
| 1 | 海外 | かいがい (海外) : foreign; abroad; overseas |
| 1 | 指摘 | してき (指摘) : pointing out; identification |
| 1 | 当時 | とうじ (当時) : at that time; in those days |
| 1 | 機器 | きき (機器) : device; equipment; machinery; apparatus |
| 1 | 潜伏 | せんぷく (潜伏) : 1. concealment; hiding; ambush 2. incubation; latency; dormancy |
| 1 | 持続 | じぞく (持続) : continuation; persisting; lasting; sustaining; enduring |
| 1 | 再 | さい (再) : re-; again; repeated; deutero-; deuto-; deuter- |
| 1 | 化 | か (化) : action of making something; -ification |
| 1 | 推奨 | すいしょう (推奨) : recommendation; endorsement |
| 1 | 詳細 | しょうさい (詳細) : 1. details; particulars; specifics 2. detailed; specific; minute |
| 1 | 参照 | さんしょう (参照) : reference; bibliographical reference; consultation; browsing (e.g. when selecting a file to upload on a computer); checking out |