CISA、最新KEVアップデートで3件の積極的に悪用される脆弱性を警告

CISA、積極的に悪用される3件の脆弱性をKEVカタログに追加

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Known Exploited Vulnerabilities（KEV）カタログを更新し、3件の新たな脆弱性を追加した。これらの脆弱性は、実際の攻撃で悪用されている証拠があるとして、2025年12月17日に発表された。追加された脆弱性は、Cisco、Adobe、D-Linkの製品に影響を及ぼすものである。

技術的詳細

新たにリストされた脆弱性は以下の通り：

1. CVE-2025-20393（Cisco）

   • 影響を受ける製品：Cisco NX-OSソフトウェア
   • 影響：CLIにおけるコマンドインジェクションの脆弱性。管理者権限を持つ認証済み攻撃者がrootとして任意のコマンドを実行可能。
   • CVSSスコア：7.2（高）

2. CVE-2025-20394（Adobe）

   • 影響を受ける製品：Adobe ColdFusion
   • 影響：不適切なアクセス制御の欠陥により、任意のファイルシステムの読み書きが可能となり、リモートコード実行（RCE）につながる恐れがある。
   • CVSSスコア：9.8（クリティカル）

3. CVE-2025-22556（D-Link）

   • 影響を受ける製品：D-Link DIR-846Wルーター（サポート終了モデル）
   • 影響：認証バイパスの脆弱性により、認証されていない攻撃者が管理者アクセスを取得可能。
   • CVSSスコア：8.8（高）

影響分析

これらの脆弱性がKEVカタログに追加されたことは、脅威アクターによる実際の悪用が確認されたことを意味し、組織にとって重大なリスクをもたらす：

• CVE-2025-20393：Ciscoのデータセンター環境において、システムの完全な侵害につながる可能性がある。
• CVE-2025-20394：Adobe ColdFusionサーバーはランサムウェアグループの標的となることが多く、この脆弱性が初期アクセスを容易にする恐れがある。
• CVE-2025-22556：未修正のD-Linkルーターがボットネットへの勧誘やSOHOネットワーク内での横展開に悪用される可能性がある。

推奨対策

CISAは、Binding Operational Directive（BOD）22-01に基づき、連邦民間機関に対し、これらの脆弱性を2026年1月7日までに修正するよう義務付けている。すべての組織に対して以下の対策を推奨する：

• 影響を受けるシステムのパッチ適用を優先すること。特に、Adobe ColdFusion（CVE-2025-20394）は深刻度がクリティカルであるため、早急な対応が必要。
• サポート終了のD-Linkデバイス（CVE-2025-22556）は隔離または廃止すること。パッチが提供されていない場合は特に注意が必要。
• これらのCVEに関連する侵害の痕跡（IoC）についてネットワークトラフィックを監視すること。
• 積極的に悪用される脆弱性に関する最新情報を得るため、CISAのKEVカタログを定期的に確認すること。

技術的な詳細や緩和策については、KEVカタログにリンクされている公式アドバイザリを参照のこと。