1. 概要

 2026年4月23日、Cisco Systems社がCisco Adaptive Security Appliance(ASA)およびFirewall Threat Defense(FTD)における複数の脆弱性に関する最新のアドバイザリを公表しました。本脆弱性の修正適用後も残置する永続化機能を有するマルウェアが設置されていた事案に関する情報が公表されており、4月27日にJPCERTコーディネーションセンター(JPCERT/CC)にて緊急で注意喚起が行われています。
 最新情報によると、脅威アクター「ArcaneDoor」により2025年9月に公開された修正済みリリースへのアップグレード後も維持される永続化メカニズムが開発されており、脆弱性対象の製品を使用している場合は、Cisco Systems社が提供する情報を参照し、早急に以下に記載する検出方法および対策を実施することが推奨されています。

 

2. 脆弱性情報詳細(CVE-2025-20333、CVE-2025-20362)

(1)脆弱性の概要
 下記リンクの前回の記事をご確認ください。
 https://www.ssk-kan.co.jp/topics/?p=15773
 
(2)永続化のメカニズム
 本脆弱性を悪用し、バックドアである「FIRESTARTER」を設置します。このバックドアには以下のような永続化メカニズムが存在します。
 
 ①デバイスの起動設定(CSP_MOUNT_LIST)を書き換え、起動時に自身を読み込ませます。
 ②OSが正規の終了信号(再起動コマンドなど)を受け取った瞬間に、バックアップから自身を復元します。
 ➂再起動後、通信処理の核心部である「LINAプロセス」に悪意のあるコードを注入し、実行します。
 ④自身の注入が完了すると、改ざんしたリストを元に戻し、ディスク上の実行ファイルを削除して証拠を隠滅します。
 
 本バックドアはログや振る舞いの異常がほとんど観測されない特性があり、一般的な監視・検知手法では発見が困難であるため、以下の記載の「(4)検出方法」を参照し、確認してください。
 
(3)脆弱性対象システムの修正済みバージョン
 Cisco ASAソフトウェア
 - 9.16.4.92 バージョン
 - 9.18.4.135 バージョン
 - 9.20.4.30 バージョン
 - 9.22.3.5 バージョン
 - 9.23.1.195 バージョン
 - 9.24.1.155 バージョン
 
 Cisco FTDソフトウェア
 - 7.0.9 バージョン
 - 7.2.11 バージョン
 - 7.4.7 バージョン
 - 7.6.4 バージョン
 - 7.7.11 バージョン
 - 10.0.0 バージョン
 
 Firepower 4100 and 9300 Security Appliance
 - 2.10.1.383 バージョン
 - 2.12.1.117バージョン
 - 2.14.3.125 バージョン
 - 2.16.2.119バージョン
 - 2.17.0.549 バージョン
 - 2.18.0.535 バージョン
 
(4)検出方法
 新たに発見されたこの永続的なマルウェアは「lina_cs」と呼ばれる悪意のあるプロセスにより開始されます。このプロセスの存在を確認することによって、新たな永続化メカニズムが使用されているかを確認することができます。
 
 <確認コマンド>
 show kernel process | include lina_cs
 
 <出力例>
 Cisco Secure Firewall ASA
 - asa# show kernel process | include lina_cs
 -  68081 29428 20 0 249856 100 1 S 3 0 0 lina_cs
 
 Cisco Secure FTD
 - > show kernel process | include lina_cs
 -  68081 29428 20 0 249856 100 1 S 3 0 0 lina_cs
 
 ※lina_csプロセス名は設計により変更される可能性があるため、このIOC(侵害指標)はこの永続的なマルウェアを決定的に特定するものではない場合があります。
 
(5)インシデント対策
 本脆弱性はすでに悪用を試みる攻撃が報告されており、CVSS v3.0スコアは9.9と高く、脆弱性を悪用された場合には深刻な被害を受ける可能性があります。
 新たに発見された永続化メカニズムは、2025年9月に公開された修正済みリリースへのアップグレード後も維持される仕組みとなっています。JPCERT/CCによると、「修正バージョン公開前に侵害が発生していた可能性がある事例が海外では指摘されており、当時修正を適用済みであっても侵害が機器内に潜伏・持続している可能性がある点に注意が必要」とのことです。この永続化のメカニズムを完全に削除するためには、Cisco Systems社より提供されている修正済みバージョンへのアップデートおよびホットフィックスを適用し、デバイスを再イメージング(OSと基本設定を全てリセットする)することを推奨します。
 
修正済みバージョンおよび適用するホットフィックスについては下記リンクを参照ください。

Continued Evolution of Persistence Mechanism Against Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-CISAED25-03#fs

 

3. まとめ

 本記事では、以前ご紹介した脆弱性(CVE-2025-20333、CVE-2025-20362)に関する追加情報の詳細と対策を紹介しました。以前ご紹介した修正済みバージョンへのアップデートでは対策として不十分であり、最新の修正済みバージョンへのアップデートおよび、デバイスの再イメージング化などの対策を実施することを強く推奨します。

 

4. 参考情報

・Cisco Systems社
Cisco Event Response: Continued Attacks Against Cisco Firewalls 2026年4月27日閲覧
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks

Continued Evolution of Persistence Mechanism Against Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense 2026年4月27日閲覧
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-CISAED25-03

UAT-4356's Targeting of Cisco Firepower Devices 2026年4月27日閲覧
https://blog.talosintelligence.com/uat-4356-firestarter/

・サービス&セキュリティ株式会社
【号外】注意喚起:Cisco ASAおよびFTDにおける複数の脆弱性 (CVE-2025-20333、CVE-2025-20362)について(※本脆弱性についての過去の記事となります。)
https://www.ssk-kan.co.jp/topics/?p=15773

 

5. SSKの総合セキュリティサービスについて

 SSKでは総合セキュリティサービスとして、セキュリティ運用監視サービス、脆弱性診断サービス、デジタル・フォレンジックサービスなどのセキュリティサービスを展開しております。
 セキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃対策としてセキュリティ機器を導入しても、継続的な運用監視と分析・判断が伴わなければ十分な効果は得られません。セキュリティ運用監視サービスでは、不審な通信やアラートを継続的に分析し、迅速な通知によって、インシデント発生時に適切に対処できるよう支援いたします。
 脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスのご活用により、お客様のシステムにおける脆弱性の存否が明らかになります。
 デジタル・フォレンジックサービスでは、万が一のインシデント発生時に、コンピュータやセキュリティ機器などに残された情報を分析し、侵入経路や情報窃取の痕跡等を特定するフォレンジックサービスを提供しております。また、平時の備えとして証拠保全の訓練などを実施する事前アドバイザリーサービスも提供しております。
 これらの総合セキュリティサービスにより、インシデントの予防と、発生時の迅速な対処を両立し、対策コストや被害の抑制に貢献します。

【参考URL】
セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment
デジタル・フォレンジックサービス:
https://www.ssk-kan.co.jp/digital-forensics

 

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
       TEL 03-4500-4255
       FAX 03-6824-9977
       sales@ssk-kan.co.jp