連邦機関がCiscoデバイスの欠陥を悪用したハッキングキャンペーンの影響を受けました。
米国および英国当局は、パッチが適用されてもなお持続可能なバックドアマルウェアについて警告を発しています。このマルウェアは脆弱なCiscoデバイスに対して使用されます。
Firestarterというあだ名のバックドアマルウェアは、サイバーセキュリティ・インフラストラクチャセキュリティ庁によると、連邦民間行政府機関でのフォレンジック調査中に発見されました。
CISAは 2025年9月に緊急指令を発行し、連邦機関に対して攻撃に対する緩和策を直ちに講じるよう指示しました。この攻撃は2024年初期に最初に特定されたArcaneDoor活動に関連しています。
キャンペーンはCisco Talosの 木曜日のブログ投稿によると、UAT-4356として追跡される脅威アクターに関連していました。
攻撃はAdaptive Security ApplianceまたはFirepower Threat Defenseソフトウェアを使用するCisco FirepowerおよびSecure Firewall製品を標的にしました。CISAは木曜日にリリースされた アドバイザリーで警告しました。
ハッカーは2つの重大な脆弱性を悪用しました:CVE-2025-20333およびCVE-2025-20362。
CISAは連邦機関のAdaptive Security Applianceソフトウェアを実行するFirepowerデバイス上で疑わしい接続を発見したと述べました。調査により、ハッカーがLine Viperと呼ばれるインプラントをデプロイし、デバイス上での永続性を維持するためにFirestarterマルウェアを使用したことが判明しました。
Ciscoは木曜日に脅威を軽減する方法についての ガイダンス付きセキュリティ速報をリリースし、金曜日にアップデートを発行しました。
CISAはすべてのFCEB機関に対して、潜在的な侵害をチェックし、追加の軽減措置を講じるための新しいガイダンスを発行しました
