米国CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)と英国国立サイバーセキュリティセンター(NCSC)は木曜日、国家支援の攻撃者がカスタムバックドアを使用してシスコセキュリティデバイス(ファイアウォール)に持続的に侵害していると警告しました。
「[Firestarter]マルウェア(…)はシスコFirepowerおよびSecure Firewallデバイスの両方に関連していますが、CISAが野生でマルウェアの成功した埋め込みを観察したのはASAソフトウェアを実行しているシスコFirepowerデバイス上だけです。」とサイバーセキュリティ・インフラストラクチャセキュリティ庁は述べました。
CISAはまた、米国連邦民間機関が自社システム上のマルウェアの証拠を検索するために使用すべき脅威狩り規則を共有しました。
マルウェアの永続化メカニズム
2つの機関は、シスコTalosによってUAT-4356として追跡されている攻撃者がCVE-2025-20333および/またはCVE-2025-20362を悪用することで、インターネットに面した脆弱なデバイスへの初期アクセスを得ていると主張しています。
シスコはこれらの攻撃が最初に発見された2025年9月下旬にこれらにパッチを適用しました。
脅威行為者はその後、Line Viper悪用後埋め込みを展開してすべてのVPN認証ポリシーをバイパスするVPNセッションを確立し、最終的にFirestarterバックドアを埋め込んで永続性を実現しました。
シスコTalosの研究者は、Firestarterによると、スタートアップ構成リストを操作することでデバイスのブートシーケンスに埋め込まれ、デバイスが通常再起動されるたびに自動的に再アクティブ化されることを確実にしていると述べています。
その後、攻撃者が特別に作成されたWebVPN認証要求を通じて送信される「マジックパケット」によってトリガーされるまで休止状態のままです。プレフィックスバイトの秘密のシーケンスが認識されると、埋め込みはそれに続くシェルコードを直接メモリで実行します。
その結果、深いメモリフォレンジックスまたはパケットレベルの検査なしに検出するのが非常に難しいオンデマンド実行チャネルが生成されます。
Firestarter は非常にレジリエンス性があります。なぜなら、デバイスが「グレースフルに」シャットダウンまたは再起動されるたびに、マルウェアはそのウィンドウを使用してバックアップを作成し、デバイスがオフラインになる前にスタートアップ命令を書き換えるためです。
埋め込みを完全に削除する唯一の方法はハードパワーサイクルです。つまり、デバイスをソフトウェアを通じて再起動するのではなく、物理的に電源からプラグを抜く必要があります。電力を急に遮断することで、マルウェアが生存ルーチンを実行するのを防ぎます。研究者は説明しました。
Firestarter を見つける
「CISAおよびNCSCは、FirestarterがASAまたはFirepower Threat Defense(FTD)ソフトウェアを実行しているシスコデバイス上でアクティブな脅威として永続化でき、パッチ後の永続性を維持し、脅威行為者が脆弱性を再度悪用せずに侵害されたデバイスに再度アクセスできるようにする可能性があると評価しています。」とCISAは述べ、米国連邦民間機関に命令しました:
- 管理しているすべてのパブリックに面したシスコASAプラットフォームを特定する
- これらのデバイスのアーティファクトとコアダンプを収集する
- コアダンプをCISAのマルウェア次世代(MNG)プラットフォームに送信する
- CVE-2025-20333およびCVE-2025-20362のパッチを適用する
- 必要な場合は、さらに脅威狩りを実施する
「米国FCEB機関はまずCISAに相談することなく、さらなる行動を取るべきではありません。証拠を保存するために、収集と調整の前にハードパワーサイクルおよび他の変更(例:再起動、パッチ適用、構成変更)を回避してください。これらはボラティルアーティファクトに影響を与える可能性があります。」とCISAは助言しました。
シスコによれば、Firestarter の存在に対する侵害の唯一の既知の兆候は、lina_cs という悪意のあるプロセスの存在です。ディスク上の追加ファイル – /usr/bin/lina_cs および /opt/cisco/platform/logs/var/log/svc_samcore.log – の存在は、攻撃者はこれらのファイルの名前を簡単に変更できますが、Firestarter の存在を示している可能性があります。
「コールドリスタートは悪意のある永続的な埋め込みを削除します。」と同社は述べていますが、それでもデバイスをリイメージングして固定されたソフトウェアリリースにアップグレードすることを「強く推奨」しています。
シスコTalosはFirestarterマルウェアをUAT-4356に属しており、これは以前2024 ArcaneDoor キャンペーンにリンクされていたグループであり、これは2つのゼロデイを介してシスコASAデバイスの侵害を含みました。
翻訳元: https://www.helpnetsecurity.com/2026/04/24/cisco-firepower-firestarter-backdoor/
