米国の機関は、9月にCiscoファイアウォールの脆弱性を通じて高度なハッカーに侵害されました。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、名前が公開されていない部門が「FIRESTARTER」と呼ばれるマルウェアに感染しており、ハッカーが元の脆弱性を再度悪用することなく3月にCiscoデバイスに戻ることができたと述べました。
CISAはFIRESTARTERマルウェアに関するアドバイザリーと、連邦民間機関に感染をチェックするための具体的な行動を取るよう命じる更新されたディレクティブを発表しました。
CISAは9月に初めて問題を警告し、すべての機関にCVE-2025-30333およびCVE-2025-20362(Cisco Adaptive Security Appliances(ASA)に影響を与える2つの脆弱性)にパッチを適用するよう命じました。
CISAは木曜日にアドバイザリーの改訂版を発表していると述べました。「脅威アクターがAdaptive Security Appliance(ASA)またはFirepower Threat Defense(FTD)ソフトウェアを搭載したCisco FirepowerおよびSecure Firewall製品への永続性と継続的な不正アクセスを保持することに関する更新されたサイバー脅威インテリジェンスに対応する」
ASAは、複数の異なるセキュリティタスクを単一のアプライアンスに統合するため、政府と大企業の間で人気のある製品ラインです。ファイアウォールであるだけでなく、アプライアンスは一部の侵入を防止し、スパムを処理し、アンチウイルスチェックなどを実施します。
CISAは継続的な監視プログラムを通じて、「米国のFCEB機関のASAソフトウェアを実行するCisco Firewallデバイス上の疑わしい接続を特定した」と説明しました。
「CISAは機関の職員との真陽性の発見を通知して検証し、フォレンジック関与を開始した」とCISAは木曜日に述べました。「関与の間に、CISAはFirepowerデバイス上で「FIRESTARTER」という名前のマルウェアサンプルを発見しました。」
CISAはハッカーがすべてのVPN認証ポリシーをバイパスする不正な仮想プライベートネットワーク(VPN)セッションを確立したLine Viperと呼ばれるマルウェアの別の株を展開したことを付け加えました。
FIRESTARTERは侵害されたデバイスへのアクセスを保持する方法として使用され、ハッカーが2026年3月に「元の脆弱性を再度悪用することなくアクセスを再取得する」ことができるようにしました。
ディフェンダーがCVE-2025-20333およびCVE-2025-20362にパッチを適用する前に侵害されたデバイスは、FIRESTARTERのためにまだ脆弱です。CISAはFIRESTARTERが2025年9月25日前に悪用されたCiscoデバイスに展開されたと述べましたが、正確な日付は不明です。
攻撃者はまた「存在していたが、機関内でもはやアクティブではなかった」連邦アカウントも使用しました。
Line Viperにより脅威アクターは被害者のFirepowerデバイス上のすべてにアクセスできるようになりました。管理認証情報、証明書、および秘密鍵を含みます。
CISAは9月と木曜日に再度、どの国のハッカーがバグを悪用しているかについて述べることを拒否しました。2年前にキャンペーンについて最初に報告したWiredは、情報源がそれが「中国の国家的利益と一致しているように見える」と述べたと述べました。
新しいガイダンス
CISAはCiscoバグに関する新しいアドバイザリーをイギリス国立サイバーセキュリティセンター(NCSC)と並んで発表しました。
2つの機関は木曜日に、中国政府と関連した脅威アクターが侵害されたデバイスの秘密のネットワークを使用することについての別の通知についても提携しました。そのアドバイザリーはVolt TyphoonおよびFlax Typhoonによって使用される戦術について具体的に議論しています—米国政府および重要インフラに対する攻撃について以前に特定された2つの中国グループです。
9月にCiscoは CVE-2025-20333およびCVE-2025-20362に関する詳細な研究を発表し、キャンペーンが2024年に発見されたArcaneDoorキャンペーンの背後にある同じハッカーに関連していることを高い信頼度で評価しました。Ciscoは以前、ArcaneDoor攻撃が国家が支援する脅威アクターによるキャンペーンの一部であると述べました。
CISAのアドバイザリーには、Ciscoファイアウォールデバイスに対する最新のキャンペーンに照らしてすべての連邦民間機関が取らなければならない複数のタスクが含まれています。
すべての連邦機関は大量の新しい情報を提出し、侵害が確認された場合、CISAはFIRESTARTERの永続性を削除するために「デバイスをコンセントから物理的に抜くことの指示」を含む可能性のある追加の指示を送信します。
連邦機関は金曜日の真夜中までにマルウェアチェックの確認を提出する必要があり、5月1日までに、すべての機関はCisco Firewallデバイスのインベントリを提供する必要があります。CISAは8月1日までにキャンペーンに関するレポートを国立サイバー局長およびその他のホワイトハウスリーダーに提供します。
彼らは9月のアドバイザリーで概説された元のアクションは、マルウェアを削除するか侵害されたシステムからハッカーを完全に削除するのに十分ではないと繰り返し警告しました。
「セキュリティ更新要件を完了した機関は依然として永続性に対して影響を受けやすく、したがってこのV1 ED内で更新された必要なアクションを完了する必要があります」と彼らは述べました。
「CISAによって指示されない限り、組織はデバイスを抜いてはいけません。」
CISAはまた、任意の組織がFIRESTARTERマルウェアに感染しているかどうかを確認できる方法に関する情報も提供しました。
翻訳元: https://therecord.media/cisa-us-agency-breached-cisco-vulnerability-backdoor
