シスコ、メールセキュリティ製品の脆弱性 CVE-2025-20393を修正-TOKAIコミュニケーションズのゼロデイ攻撃に悪用

セキュリティニュース

投稿日時: 更新日時:

シスコ、メールセキュリティ製品の脆弱性 CVE-2025-20393を修正-TOKAIコミュニケーションズのゼロデイ攻撃に悪用

シスコは、Cisco Secure Email Gateway(以下SEG)およびCisco Secure Email and Web Manager(以下SEWM)を狙う攻撃キャンペーンの中で悪用された脆弱性「CVE-2025-20393」について、修正済みソフトウェアを公開しました。本脆弱性はTOKAIコミュニケーションズのゼロデイ攻撃に悪用され高い危険度があるため、対象者は更新する事をお勧めします。

脆弱性の概要

CVE-2025-20393は、AsyncOSのSpam Quarantine機能におけるHTTPリクエスト検証不備が原因で、細工したHTTPリクエストによりOS上で任意コマンドが実行され得るものです。成功するとroot権限に到達します。

攻撃キャンペーンの対象になり得る条件は、シスコのアドバイザリ上、次の3点が揃う場合とされています。

  • 脆弱なAsyncOSリリースで稼働している

  • Spam Quarantineが有効

  • そのSpam Quarantineがインターネットから到達可能(公開されている)

Spam Quarantineはデフォルト有効ではなく、製品の導入ガイドでもインターネットに直接露出させる前提ではない旨が示されています。

関連:【2025年】ゼロデイ攻撃の事例

脆弱性の対象バージョン(影響を受けるリリース)


Cisco Secure Email Gateway(SEG)は AsyncOS 14.2以前/15.0/15.5/16.0 が対象です。

Cisco Secure Email and Web Manager(SEWM)は AsyncOS 15.0以前/15.5/16.0 が対象です。

対策バージョン(最初の修正済みリリース)

SEGは、14.2以前および15.0は 15.0.5-016、15.5は 15.5.4-012、16.0は 16.0.4-016 が最初の修正済みリリースです。

SEWMは、15.0以前が 15.0.2-007、15.5が 15.5.4-007、16.0が 16.0.4-010 が最初の修正済みリリースです。

攻撃キャンペーン:UAT-9686とAquaShell(Talos)

Cisco Talosは、SEG/SEWMを狙う攻撃を「UAT-9686」として追跡し、Pythonベースの永続的バックドア「AquaShell」や、トンネリング、ログ消去系ツールの利用を報告しています。攻撃は少なくとも2025年11月下旬から続いていた可能性がある、としています。

悪用事例:TOKAIコミュニケーションズ(OneOffice Mail Solution)

国内の関連事例として、TOKAIコミュニケーションズは2025年12月21日および12月22日の公表で、OneOffice Mail Solutionにおいて不正アクセスの疑いを検知し、調査の結果としてCisco製品の脆弱性を悪用された旨を記載しています。

同社説明では、影響が疑われる(不正アクセスの形跡が確認された)対象として、少なくとも次が挙げられています。

  • スパムメールを隔離するサーバ(OneOffice SPAM Filtering)

  • アカウント情報等を管理するサーバ(LDAP)

  • システムログを保管するサーバ

漏えい可能性として挙げられている情報には、隔離されたメールに記載された情報やホワイト/ブラックリスト、隔離領域アクセス用のログインID/パスワード、メールヘッダ(メールアドレス・件名)などが含まれています。

規模感については、例えばスパム隔離サーバの影響として「利用ドメイン465」「メールアドレス78,382」「隔離メール3,569,937」「ホワイト/ブラックリスト290,000」といった最大数が示されています。


なお同社は、当該時点で「情報漏えいの事実は確認されていない」とも明記しています。

関連:慶應義塾 SFCのメールサービスへ不正アクセス-認証情報など漏えいの可能性シスコの脆弱性を悪用か(CVE-2025-20393)