シスコは、Cisco Secure Email Gateway(以下SEG)およびCisco Secure Email and Web Manager(以下SEWM)を狙う攻撃キャンペーンの中で悪用された脆弱性「CVE-2025-20393」について、修正済みソフトウェアを公開しました。本脆弱性はTOKAIコミュニケーションズのゼロデイ攻撃に悪用され高い危険度があるため、対象者は更新する事をお勧めします。
目次
脆弱性の概要
CVE-2025-20393は、AsyncOSのSpam Quarantine機能におけるHTTPリクエスト検証不備が原因で、細工したHTTPリクエストによりOS上で任意コマンドが実行され得るものです。成功するとroot権限に到達します。
攻撃キャンペーンの対象になり得る条件は、シスコのアドバイザリ上、次の3点が揃う場合とされています。
-
脆弱なAsyncOSリリースで稼働している
-
Spam Quarantineが有効
-
そのSpam Quarantineがインターネットから到達可能(公開されている)
Spam Quarantineはデフォルト有効ではなく、製品の導入ガイドでもインターネットに直接露出させる前提ではない旨が示されています。
脆弱性の対象バージョン(影響を受けるリリース)
Cisco Secure Email Gateway(SEG)は AsyncOS 14.2以前/15.0/15.5/16.0 が対象です。
Cisco Secure Email and Web Manager(SEWM)は AsyncOS 15.0以前/15.5/16.0 が対象です。
対策バージョン(最初の修正済みリリース)
SEGは、14.2以前および15.0は 15.0.5-016、15.5は 15.5.4-012、16.0は 16.0.4-016 が最初の修正済みリリースです。
SEWMは、15.0以前が 15.0.2-007、15.5が 15.5.4-007、16.0が 16.0.4-010 が最初の修正済みリリースです。
攻撃キャンペーン:UAT-9686とAquaShell(Talos)
Cisco Talosは、SEG/SEWMを狙う攻撃を「UAT-9686」として追跡し、Pythonベースの永続的バックドア「AquaShell」や、トンネリング、ログ消去系ツールの利用を報告しています。攻撃は少なくとも2025年11月下旬から続いていた可能性がある、としています。
悪用事例:TOKAIコミュニケーションズ(OneOffice Mail Solution)
同社説明では、影響が疑われる(不正アクセスの形跡が確認された)対象として、少なくとも次が挙げられています。
-
スパムメールを隔離するサーバ(OneOffice SPAM Filtering)
-
アカウント情報等を管理するサーバ(LDAP)
-
システムログを保管するサーバ
漏えい可能性として挙げられている情報には、隔離されたメールに記載された情報やホワイト/ブラックリスト、隔離領域アクセス用のログインID/パスワード、メールヘッダ(メールアドレス・件名)などが含まれています。
規模感については、例えばスパム隔離サーバの影響として「利用ドメイン465」「メールアドレス78,382」「隔離メール3,569,937」「ホワイト/ブラックリスト290,000」といった最大数が示されています。
なお同社は、当該時点で「情報漏えいの事実は確認されていない」とも明記しています。
関連:慶應義塾 SFCのメールサービスへ不正アクセス-認証情報など漏えいの可能性シスコの脆弱性を悪用か(CVE-2025-20393)








