TokyoBlackHatNews

bleepingcomputer.com 5分で読了

Firestarter マルウェアがCiscoファイアウォールの更新とセキュリティパッチを回避

Image

米国と英国のサイバーセキュリティ機関は、Cisco FirepowerおよびSecure Firewallデバイス(Adaptive Security Appliance(ASA)またはFirepower Threat Defense(FTD)ソフトウェアを実行)に残存するFirestarterというカスタムマルウェアについて警告しています。

このバックドアはCisco Talosが内部でUAT-4356として追跡している脅威アクターに属しており、ArcaneDoorを含むサイバースパイ活動キャンペーンで知られています。

米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)および英国の国家サイバーセキュリティセンター(NCSC)は、攻撃者が認可の欠落の問題(CVE-2025-20333)およびバッファオーバーフロー脆弱性(CVE-2025-20362)を悪用して初期アクセスを取得したと考えています。

連邦民間政府機関での1つのインシデントで、CISAは脅威アクターが最初にユーザーモードシェルコードローダーであるLine Viperマルウェアをデプロイし、その後パッチ適用後でもアクセスを継続できるようにするFirestarterを使用するのを観測しました。

「CISAは初期エクスプロイトの正確な日付を確認していませんが、侵害は2025年9月初旬に発生し、機関がED 25-03に従ってパッチを実装する前であると評価しています」と、機関はアラートで述べています

Line Viperは、VPNセッションを確立し、侵害されたFirepowerデバイス上の管理者認証情報、証明書、秘密鍵を含むすべての構成詳細にアクセスするために使用されます。

次に、Firestarter バックドアのELFバイナリが永続性のためにデプロイされ、脅威アクターが必要に応じてアクセスを再取得できるようにします。

Firestarter がデバイスに組み込まれると、再起動、ファームウェア更新、セキュリティパッチ全体で永続性を維持します。さらに、バックドアは終了された場合、自動的に再起動します。

永続性は、Cisco ASA のコアプロセスであるLINAにフックし、再インストール ルーチンをトリガーするシグナルハンドラーを使用することで実現されます。

2つのサイバーセキュリティ機関による共同マルウェア分析レポートは、Firestarter が起動時の実行を確保するためにCSP_MOUNT_LISTブート/マウントファイルを変更し、/opt/cisco/platform/logs/var/log/svc_samcore.log に自身のコピーを保存し、それを/usr/bin/lina_cs に復元してバックグラウンドで実行することを説明しています。

Cisco Talosはまたマルウェアの分析を発表し、永続性メカニズムがプロセス終了シグナルを受け取った時にトリガーされることを述べています。これはグレースフルリブートとしても知られています。

研究者はFirestarter レポートで、バックドアが自身の永続性を設定するために以下のコマンドを使用したことを述べました。

Image

インプラントのコア機能はリモートアクセスのためのバックドアとして機能することですが、攻撃者が提供するシェルコードを実行することもできます。

これはFirestarterがXMLハンドラーを変更し、メモリにシェルコードを注入してLINAにフックし、制御された実行パスを作成するメカニズムを通じて行われます。

このシェルコードは特別に細工されたWebVPNリクエストによってトリガーされ、ハードコードされた識別子を検証した後、メモリ内で攻撃者が提供したペイロードを直接ロードして実行します。

ただし、CISAは攻撃で観測された特定のペイロードについて詳細を提供しませんでした。

Ciscoは、永続性メカニズムを削除するための軽減策と回避策、およびFirestarter インプラントを発見するための侵害インジケータを含むセキュリティアドバイザリーを発表しました。

ベンダーは「修正されたリリースを使用してデバイスをリイメージングおよびアップグレードすることを強く推奨」しており、これは侵害されたケースと侵害されていないケースの両方をカバーしています。

侵害を判断するために、管理者は’show kernel process | include lina_cs’コマンドを実行する必要があります。出力がある場合、デバイスは侵害されていると見なされるべきです。

デバイスの再イメージング化が現在不可能な場合、Ciscoはコールドリスタート(デバイスの電源を切断)がマルウェアを削除すると述べています。ただし、この代替案は、データベースまたはディスク破損のリスクを伴い、ブート問題につながる可能性があるため、推奨されません。

CISAはまた、ディスク イメージまたはデバイスからのコア ダンプに適用するとFirestarterバックドアを検出できる2つのYARAルールも共有しました。

Mythosが発見したもののうち99%はまだパッチが当たっていない。

AIが4つのゼロデイを1つのエクスプロイトにまとめられ、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。

Autonomous Validation Summit(5月12日と14日)では、自律的で文脈に富んだ検証がどのようにエクスプロイト可能なものを見つけ、コントロールが機能することを証明し、修復ループを閉じるかをご覧ください。

お席をお取りください

翻訳元: https://www.bleepingcomputer.com/news/security/firestarter-malware-survives-cisco-firewall-updates-security-patches/

ソース: bleepingcomputer.com
#ArcaneDoor #CISA #Cisco Secure Firewall #CVE-2025-20333 #CVE-2025-20362 #Firestarter #LINE VIPER #バックドア #マルウェア分析 #永続性メカニズム

関連記事

ShinyHuntersのリーク脅迫後、ADTがデータ侵害を確認

Windowsアップデートが強制再起動を減らす新しいコントロールを取得

新しいBlackFile恐喝グループ、フィッシング攻撃の急増に関連