ISSコラム

column by iss

2025年9月の主な脆弱性情報

2025.10.17


CVE-2025-20333 / CVE-2025-20362(Cisco ASA/FTD ファイアウォールのゼロデイ)〔重要度:緊急/高〕


Cisco社のASAおよびFTD製品に含まれるWebVPN機能のバッファオーバーフローおよび認証回避の脆弱性です。CVSSスコアは、9.9と6.5(Critical/High)で 悪用によりリモートの攻撃者がファイアウォール上で管理者権限の任意コード実行や認証無しでの管理機能アクセスを許します。公開直後から標的型攻撃で積極的に悪用され、脅威アクターがファイアウォールを乗っ取りVPN通信の傍受や恒久的な侵入経路確保に利用する事例が確認されています。


CVE-2025-10585(Google ChromeにおけるV8エンジンのゼロデイ脆弱性)〔重要度:緊急〕


ChromeブラウザのJavaScriptエンジン「V8」に存在した型の取り違え(Type Confusion)に起因する深刻なバグで、細工された悪意のサイトを閲覧すると被害者端末上で任意コード実行が可能になります。CVSSスコアは9.8(Critical) で本脆弱性は発見された時に既にChromeのゼロデイとして攻撃に使われており、Googleは緊急アップデートでこれを修正しました。


CVE-2025-57819(FreePBXの認証バイパス+RCE脆弱性)〔重要度:緊急〕


オープンソースのPBXシステムFreePBXのエンドポイントモジュールにおける入力検証不備が原因で、未認証の攻撃者が管理者認証をバイパスし、SQLインジェクション経由で任意コード実行に至る致命的欠陥です。CVSSスコアは10.0(Critical) で、PoCコードが確認されており、公開済みモジュール更新が提供されています。なお、既に実環境での悪用が報告されていて、認証無しでPBXサーバを完全乗っ取られる危険があります 。被害が発生すると通話記録やボイスメールなど音声インフラ全体の掌握や不正課金・内部ネットワークへの横展開など深刻な被害を招きます。


CVE-2025-10035(Fortra GoAnywhere MFTのリモートコード実行(デシリアライゼーション)脆弱性)〔重要度:緊急/高〕


企業で広く使われるマネージドファイル転送サーバ「GoAnywhere MFT」のライセンスサーブレットに任意オブジェクトの逆シリアル化バグがあり、ネット経由で認証なしにコード実行される恐れがあります。CVSSスコアは10.0(Critical) で、Exploitコードが作成可能であり、管理コンソールがインターネットから到達可能な環境では既に攻撃が発生しています 。細工したライセンス応答を送りつけることで認証バイパスし任意コマンド実行に至るため、機密ファイルの大量流出やランサムウェア展開等につながるリスクが極めて高い脆弱性です。


CVE-2025-32463(Linux「sudo」のローカル特権昇格脆弱性)〔重要度:高〕

CVE-2025-32463(Linux「sudo」のローカル特権昇格脆弱性)〔重要度:高〕

Unix系OSで管理者権限委譲に使われるコマンドsudoにおいて、低権限ユーザがroot権限を取得できる欠陥です。CVSSは7.8(High)で、 攻撃者による悪用が確認済みで、Ubuntu 24.04やFedora 41など一部Linuxディストリで本脆弱性を突いた権限昇格が実行されています 。ローカルアクセスが必要な脆弱性ではありますが、クラウド環境のコンテナやマルチテナント環境では重大な内部侵入・横方向移動の手段となり得ます 。


補足:


上記以外にも、SAP NetWeaverの深刻なRCE脆弱性(例:CVE-2025-42944, CVSS 10.0)が報告され実際に悪用されたとの情報があります。Adobe Commerce/Magentoの未認証RCE「SessionReaper」 やAppleのゼロクリック型スパイウェア攻撃に使われたiOSの画像処理ライブラリ脆弱性(CVE-2025-43300他) など9月中に多数の重要な脆弱性が明らかになりました。約4,000件超の脆弱性が本期間に公開され、そのうち1,600件以上がCVSS High/Criticalであり、少なくとも16件がCISA KEVリストに追加されるなど深刻度・悪用報告ともに高い月でした 。

本コラムについて

インターネットセキュアサービス㈱(以下、ISS)が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。

  • 2025年10月の主な脆弱性情報

  • 2025年8月の主な脆弱性情報

  • 内部犯行の現状