UAT-4356として知られる国家支援のサイバー脅威行為者は、Cisco Firewallデバイスの既知の脆弱性を積極的に悪用して、高度なカスタムバックドアを展開しています。
UAT-4356はCiscoのFirepower eXtensible Operating System (FXOS)に影響を与える2つのn-day脆弱性、CVE-2025-20333およびCVE-2025-20362mを悪用しました。
これらの欠陥により、脅威行為者はゼロデイ機能を必要とせずに対象デバイスへの不正アクセスを取得し、代わりにパッチが当たっていないシステム上の既知だが未対応の脆弱性を悪用することができました。
このグループは以前、ArcaneDoorへの関連が指摘されており、これは2024年初頭に発覚した国家支援のスパイキャンペーンで、世界中のネットワークペリメーターデバイスを標的としていました。
侵害されたデバイス内に入ると、UAT-4356は2026年4月23日にCisco Talosが発表した脅威勧告によると、FIRESTARTERと呼ばれるカスタムビルドのマルウェアを展開しました。
このバックドアは、CiscoのASAおよびFTDアプライアンスのコアコンポーネントであるLINAプロセスに悪意のあるシェルコードを直接注入し、侵害されたハードウェア上でのリモートコード実行を可能にします。
FIRESTARTERは、LINAのメモリ内の正規のWebVPN XMLハンドラー関数を悪意のあるステージ2シェルコードハンドラーに置き換えることで機能します。
デバイスが特定のマジックバイトを含む細工されたWebVPNリクエストを受け取ると、埋め込まれたシェルコードがメモリ内で静かに実行されます。
マジックバイトを含まない通常のトラフィックは元のハンドラーに転送され、日常業務中もバックドアが隠されたままになります。
セキュリティ研究者は、FIRESTARTERがRayInitiatorのステージ3シェルコードと大きな技術的な重複を持つことに注目しており、高度な脅威行為者間での開発リソースやツールの共有を示唆しています。
UAT-4356はFIRESTARTERに巧妙な永続化メカニズムを設計しました。デバイスブート時に実行されるコマンドを制御する設定であるCiscoのCSP_MOUNT_LISTを操作して、グレースフルリブートを生き残ります。
デバイスが再起動されると、FIRESTARTERは自身を/opt/cisco/platform/logs/var/log/svc_samcore.logにコピーし、/usr/bin/lina_csから再実行します。注目すべきことに、ハード電源リブート(デバイスの物理的な電源切断)は埋め込みを削除します。これは永続化がグレースフルリブートのみに対応しているためです。
管理者はFirepowerデバイス上で以下の警告兆候をチェックする必要があります:
- /usr/bin/lina_csまたは/opt/cisco/platform/logs/var/log/svc_samcore.logの疑わしいファイル
- 実行コマンドの出力:show kernel process | include lina_cs
- ClamAVシグネチャ:Unix.Malware.Generic-10059965-0
- Snortルール62949、65340、および46897がFIRESTARTERおよび関連CVEをカバーしています
Ciscoは、組織に対し公式Cisco Security Advisoryに詳述されている最新のソフトウェアアップグレードを適用することを強く推奨しています。感染したデバイスは再イメージングによってクリーニングするか、または非ロックダウンFTDシステムではlina_csプロセスを強制終了してデバイスを再ロードすることでクリーニングできます。
CISAの緊急指令ED 25-03は、影響を受けた連邦および企業環境に対する追加の修復ガイダンスも提供しています。
翻訳元: https://gbhackers.com/hackers-exploit-cisco-firepower-n-day-flaws/
