- Cisco Talosが新しいマルウェア『Firestarter』について警告。未パッチのFirepowerおよびSecure Firewallデバイスをターゲット
- UAT-4356グループが脆弱性CVE-2025-20333およびCVE-2025-20362を悪用し、Firestarter投入前にLine Viperを展開
- CISAが少なくとも1つの連邦機関に対する悪用を確認
セキュリティ研究者らが、未パッチのCiscoファイアウォールおよびSecure Firewallデバイスをターゲットとし、再起動、セキュリティパッチ、ファームウェア更新に対しても持続する新しいカスタムビルドマルウェア『Firestarter』について警告している。
Cisco Talosの専門家らは、Firestarter が Adaptive Security Appliance (ASA) または Firepower Threat Defense (FTD) ソフトウェアを実行しているデバイスでのみ動作することを指摘した。これは UAT-4356 として追跡されている脅威アクター、Ciscoが少なくとも2年間警告してきているグループによって構築されたものである。
2024年中盤、Ciscoは、東欧の国家に関連する可能性のある高度な脅威アクターがCisco VPNsとファイアウォール内の2つの欠陥を悪用してマルウェアをドロップしていると述べた。STORM-1849としても追跡されているこの同じグループは、当時2つの欠陥を悪用していた:CVE-2024-20353およびCVE-2024-20359。
記事の続き
侵害の確認
今回は、CVE-2025-20333として追跡されている認可不足の問題とCVE-2025-20362として追跡されているバッファオーバーフローバグを悪用して、まずLine Viper (ユーザーモードシェルコードローダー) を展開してから Firestarter をドロップしている。
Line Viperは、CLIコマンドを実行し、パケットをキャプチャし、VPN認証、認可、アカウンティング(AAA)をアクターデバイスに対してバイパスし、syslogメッセージを抑制し、ユーザーのCLIコマンドを盗み、デバイスの遅延再起動を強制できると言われている。
少なくとも1つの連邦民間行政機関(FCEB)について、デバイスはパッチがリリースされてからデバイスに展開されるまでの時間窓で侵害された:
「CISAは初期悪用の正確な日付を確認していないが、侵害が2025年9月初旬に発生し、機関がED 25-03に従ってパッチを実装する前に発生したと評価している。」CISAがセキュリティアドバイザリで述べた。
スタートアップマウントリストを調整することで、マルウェアは再起動後も持続することを確保する。
FirepowerおよびSecure Firewallを実行していて、軽減策と回避方法を探している人は、Ciscoのセキュリティアドバイザリをここで読むべきである。同社は、修正されたリリースを使用してデバイスを再イメージングしてアップグレードすることを「強く推奨」していると述べた。
