Cisco ASA, FTD Multiple Vulnerabilities CVE-2025-20333, CVE-2025-20362 Active Exploitation Confirmed
Summary
JPCERT/CC issued an alert confirming active exploitation of multiple vulnerabilities (CVE-2025-20333, CVE-2025-20362) in Cisco Adaptive Security Appliance (ASA) and Firewall Threat Defense (FTD) software. Attackers chained these vulnerabilities to achieve unauthorized access and arbitrary code execution via the VPN Web Server on affected Cisco ASA 5500-X series devices with VPN web services enabled. An April 2026 update revealed that a persistence mechanism (FIRESTARTER backdoor) remains after patching, requiring device re-imaging in confirmed compromise cases. JPCERT/CC states that numerous vulnerable hosts still exist in Japan, and CISA assesses that compromises occurred before the patched version was released.
About this source
GovPing monitors Japan JPCERT Advisories for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 4 changes logged to date.
What changed
JPCERT/CC published a cybersecurity alert advising that Cisco confirmed active exploitation of two chained vulnerabilities in Cisco ASA and FTD: CVE-2025-20362 (unauthorized access to restricted URL endpoints without authentication) and CVE-2025-20333 (arbitrary code execution after authentication). Exploitation was achieved via the VPN Web Server on Cisco ASA 5500-X series devices with VPN web services enabled. A subsequent update on April 27, 2026 disclosed a persistent malware mechanism (FIRESTARTER backdoor) that survives patching, requiring device re-imaging in confirmed compromise cases. Cisco Talos and CISA published detection tools including YARA rules and Python scripts; NCSC (UK) published related malware analysis reports.
Organizations operating Cisco ASA 5500-X series or FTD devices with VPN web services enabled should immediately identify affected products and versions, apply Cisco's fixed versions without relying on workarounds (none are available), and investigate potential compromise using Cisco's detection guide, CISA's FIRESTARTER report, and NCSC's YARA rules. JPCERT/CC warns that even patched systems may be compromised if the initial intrusion predated the fix. If compromise is confirmed, re-imaging and credential resets are required before returning devices to service.
What to do next
- Apply fixed versions of Cisco ASA Software and FTD to affected devices.
- If compromise is suspected, reset local passwords, certificates, and keys, then re-image devices and apply the latest fixed version or hotfix.
- If compromise is suspected following the Cisco detection guide, contact Cisco TAC for detailed analysis.
Archived snapshot
Apr 27, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
JPCERT-AT-2025-0021
JPCERT/CC
2025-09-26(公開)
2026-04-27(更新)
I. 概要
2025年9月25日(現地時間)、Ciscoが、Cisco Adaptive Security Appliance(ASA)およびFirewall Threat Defense(FTD)における複数の脆弱性に関する情報を公表しました。Ciscoによると、これらのうち、制限付きのURLエンドポイントに認証なしでアクセス可能な脆弱性(CVE-2025-20362)と、認証後に任意コード実行可能な脆弱性(CVE-2025-20333)を組み合わせた攻撃を確認しているとのことです。確認された攻撃では、脆弱性の対象とされる一部の製品(Cisco ASA Softwareが動作しており、かつVPN Webサービスが有効になっているCisco ASA 5500-Xシリーズ)が影響を受けていたとのことです。侵害は、マルウェアの設置、任意のコマンド実行、侵害された機器から情報が窃取された可能性があるとしています。
Cisco
Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asaftdcontinued_attacks
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に記載の情報を確認の上、対策の実施を検討してください。
更新:2026年4月27日追記
2026年4月23日(現地時間)、Ciscoが本脆弱性に関連するアドバイザリを公開しました。本脆弱性の修正適用後も残置する永続化機能を有するマルウェアが設置されていた事案に関する情報が公表されており、マルウェアを検出する方法、検出された場合の対処方法などが案内されています。
Cisco
Continued Evolution of Persistence Mechanism Against Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-CISAED25-03
JPCERT/CCは、本情報更新時点においても、本脆弱性の影響を受けるホストが国内で多数存在していることを確認しています。また、本脆弱性に対する修正バージョン公開前に侵害が発生していた可能性がある事例が海外では指摘されており、当時修正を適用済みであっても侵害が機器内に潜伏・持続している可能性がある点に注意が必要です。
Ciscoが提供する最新の情報や、「IV. 侵害検出方法」にも追記したCisco Talos、米CISAが提供する関連情報などを参照し、必要な対策や対処の実施をご検討ください。
II. 対象
本脆弱性の対象となる製品およびバージョンは多岐にわたります。各脆弱性によって、影響を受ける前提条件が異なりますので、詳細は、Ciscoが提供する最新の情報をご確認ください。
III. 対策
Ciscoは本脆弱性を修正したバージョンへのアップデートを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。いずれの脆弱性についても、ワークアラウンドは提供されていないため、速やかなアップデートを推奨します。Ciscoは、侵害が疑われる場合にはローカルのパスワード、証明書、鍵などのリセットを推奨しています。詳細は、開発者が提供する情報を確認してください。
更新:2026年4月27日追記
侵害が確認された場合、再イメージ化の上、Ciscoが提供する最新の修正済みバージョンやホットフィックスを適用することが推奨されています。詳細はCiscoが提供する最新の情報を参照してください。
IV. 侵害検出方法
Ciscoによると、セキュアブート非対応のCisco ASA 5500-Xシリーズの場合、本脆弱性の対策バージョンで起動すると、ROMMONを自動的にチェックし、この攻撃キャンペーンで検出された永続化メカニズムを検知した場合は削除され、firmware_update.logというファイルがdisk0に書き込まれるとのことです。詳細は、開発者が提供する情報を確認してください。
また、National Cyber Security Centre(UK)から本脆弱性が悪用された場合に設置されたマルウェアを検知するためのYARAルールやPythonスクリプトのコード、VPNクライアントの認証に関するリクエストとレスポンスが記載された分析レポートが公開されています。「V. 参考情報」に記載の記事をあわせてご確認ください。
Ciscoが、本件に関して侵害を検出するための参考となるガイドを公開しました。攻撃の調査から得た、フォレンジックによる検出の回避が狙いと考えられる、特定のログの出力を抑制する点などが示され、痕跡調査のポイントとされています。また、本ガイドにもとづく調査により侵害が疑われる場合は、Cisco Technical Assistance Center(TAC)に詳細な分析を依頼するよう促しています。
Cisco
Detection Guide for Continued Attacks against Cisco Firewalls by the Threat Actor behind ArcaneDoor
https://sec.cloudapps.cisco.com/security/center/resources/detectionguideforcontinuedattacks
更新:2026年4月27日追記
2026年4月23日(現地時間)、Cisco Talos、米CISAがFIRESTARTERバックドアに関するレポートを公表しました。本脆弱性を悪用した後に永続化を確立するために設置されるもので、機器内にバックドアが設置されているか調査するために活用できるコマンド例、ファイルパス、YARAルールなどの情報が公表されています。本バックドアはログや振る舞いの異常がほとんど観測されない特性を有し、一般的な監視・検知手法では発見が困難である点が指摘されています。
また、米CISAによると、本件の侵害は2025年9月初旬の時点ですでに発生していたと評価されており、本脆弱性に対する修正バージョン公開前に侵害されていた可能性が指摘されています。そのため、修正バージョンを適用済みであっても安全であるとは限らず、Ciscoなどが提供する最新の情報を確認の上、侵害の有無を確認するための調査および必要な対処の実施を検討してください。
Cisco Talos
UAT-4356's Targeting of Cisco Firepower Devices
https://blog.talosintelligence.com/uat-4356-firestarter/
CISA
FIRESTARTER Backdoor
https://www.cisa.gov/news-events/analysis-reports/ar26-113a
V. 参考情報
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
Cisco
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
National Cyber Security Centre(UK)
Malware Analysis Report RayInitiator & LINE VIPER(PDF)
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf
JPCERT/CC
Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性(CVE-2025-20363)について
https://www.jpcert.or.jp/newsflash/2025093001.html
※ Ciscoは、悪用が確認された2件の脆弱性の他に、CVE-2025-20363(条件付きで認証前に任意のコードが実行可能)も公表しています。CVE-2025-20363について、JPCERT/CCは2025年9月30日にCyberNewsFlashを公開しました。
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2025-09-26 公開
2025-10-01 「I. 概要」「IV. 侵害検出方法」に追記
2026-04-27 「I. 概要」「III. 対策」「IV. 侵害検出方法」「V. 参考情報」に追記
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
サイバーセキュリティコーディネーショングループ
Email:ew-info@jpcert.or.jp
Related changes
Get daily alerts for Japan JPCERT Advisories
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from JPCERT/CC.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when Japan JPCERT Advisories publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.