【CVE-2025-20271】Cisco Meraki MX/Z シリーズにおける AnyConnect VPNの脆弱性
概要
- 発行日:2025-06-18
- 該当CVE ID:CVE-2025-20271
- CvSSv3スコア:8.6 (High)
脆弱性の概要
- CVE-2025-20271
クライアント証明書認証を有効にしているCisco AnyConnect VPNにて、SSL VPNセッション確立時の変数初期化処理の不備により
定の細工されたHTTPSリクエストの連投により、AnyConnectサービスが再起動
攻撃が継続すると新規接続も不能となり、DoS状態に陥る
既存のSSL VPNセッションが切断され、ユーザーは再接続と再認証が必要
影響を受ける製品
Meraki MX / Z シリーズ(AnyConnect + クライアント証明書認証が有効な場合)
例:MX64, MX65, MX67, MX84, MX100, MX250, vMX, Z3, Z4 など(詳細は公式アドバイザリ参照)
- MX64/MX65 は特に注意:Firmware 17.6 以降のみ AnyConnect サポート対象
なお、下方の製品は影響を受けません。
AnyConnect VPN が無効、または証明書認証が無効
クライアントVPN(L2TP/IPsec)のみ使用している場合
対処法
- 修正済みバージョンへの移行
下方のURLを参考にしてください。
Cisco Meraki MX and Z Series AnyConnect VPN with Client Certificate Authentication Denial of Service Vulnerability
ワークアラウンド(回避策)
- なし
レスポンスマトリックス
Cisco.com の「Cisco サポートおよびダウンロード」ページでは、ライセンスとダウンロードに関する情報を提供しています。
このページでは、My Devices ツールをご利用のお客様のデバイスサポート範囲も確認できます。
関連リンク:Cisco Meraki MX and Z Series AnyConnect VPN with Client Certificate Authentication Denial of Service Vulnerability
最後に
- ITに関するご相談やご依頼はこちらのGoogleFormから!
→https://t.co/lNWmSw5mpM
(担当SEがご対応いたします)
- 弊社の公式X(旧Twitter)が開設しました!フォローしていただけると最新の脆弱性情報や
中の人の日常投稿などが見れます!
→https://x.com/esunekk
初回執筆:2025年6月20日