米国と英国のサイバーセキュリティ専門家は、これがCiscoファイアウォールをクラックする継続的なキャンペーンの一部であることを管理者に警告しています。
セキュリティ研究者は、Ciscoシステムのファイアウォールを狙った不気味なバックドアを発見しました。これは、パッチが適用されていない脆弱性を悪用して、パッチ適用後も永続性を保ちます。つまり、攻撃者は脆弱性を再度悪用することなく、侵害されたデバイスにアクセスし続けることができます。
リスクにさらされているのは、Cisco ASAまたはFirepowerソフトウェアを実行しているデバイスで、特定のFirepowerおよびSecure Firewallデバイスが含まれます。ただし、米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)が現在確認しているのは、Firestarter(ファイアスターター)と呼ばれるマルウェアの成功した実装は、ASAソフトウェアを実行しているCiscoFirepower デバイス上のみです。
共同警告の中で、CISAと英国のナショナルサイバーセキュリティセンターは、組織に侵害の兆候を探すよう促しています。そのために、コアダンプを生成し、推奨されるYARAルールを使用してFirestarterマルウェアを検出してください。YARAルールはディスクイメージに対して実行することもできます。
侵害がある場合は、バックアップ電源を含むすべての電源からデバイスを1分間切断し、電源を再接続してリブートしてください。
「デバイスの電源を切るだけでは、またはリブートするだけでは不十分です」と共同勧告は述べています。「デバイスは冗長性のために作成された重複電源を含む、すべての電源から完全に除去する必要があります。」
Firestarter感染は、デバイスをリイメージングして消去することもできると述べられています。
別の勧告で、Ciscoの脅威インテリジェンスサービスであるTalosは、UAT-4356と呼ばれるグループがFirestarterの背後にあり、Firepower デバイスへの継続的なターゲティングの一部であると述べています。他の研究者はこのグループをStorm-1849と呼び、Ciscoおよび他のベンダーのネットワークデバイスをターゲットにしたキャンペーンをArcaneDoorと特定し、2023年にさかのぼります。
「パッチして忘れる」メンタリティの致命的な失敗
CISAは、脅威アクターがCVE-2025-20333および/またはCVE-2025-20362を悪用して、これらの脆弱性にパッチが適用される前の昨年9月初旬にCiscoファイアウォールを侵害したと考えています。
CISAが分析した例では、ハッカーはLineViperシェルコードローダーをデプロイして、脅威アクターが侵害されたFirepower デバイスのすべての設定要素(管理認証情報、証明書、秘密鍵を含む)にアクセスするために使用できるVPNをインストールしました。その後、Firestarter バックドアが追加され、コマンド&コントロールサーバーにリンクするために使用されました。これにより、バックドアはパッチ適用後も永続化することができました。これらはすべて、2つの脆弱性に対するパッチが発行される前に発生しました。
Firestarter は終了シグナルを検出して自身を再起動することで永続性を実現し、ハードパワーサイクルが発生しない限り、ファームウェア更新とデバイスリブートを生き残ることができます。
「Firestarterマルウェアは、最新のネットワークセキュリティの『パッチして忘れる』メンタリティの致命的な失敗を表しています」と、Enderle GroupのアナリストRob Enderleは述べています。
「このアタックを特に珍しくしているのは、その技術的な耐性とフォレンジック対策機能です」と彼は述べています。「マルウェアはSIGTERMやSIGHUPなどの終了シグナルのコールバック関数を登録し、管理者がプロセスを強制終了しようとする場合に自動的に再起動できます。LINA エンジンの仮想メモリを深掘りしてC++標準ライブラリをフックし、WebVPN要求を傍受してペイロードをトリガーします。『タイムスタンピング』を使用してファイルの存在をマスクし、エラーを/dev/nullにリダイレクトすることで、従来の検出ツールではほぼ見えません。」
彼はCISAとCiscoのアドバイスを強調しました。損害を軽減するために、感染したデバイスは冗長なものを含む、すべての電源から少なくとも1分間物理的に切断する必要があります。この「コールドスタート」はマルウェアが存在する揮発性メモリをクリアし、その起動時の永続性を中断します。
さらに、Enderleは述べました。ネットワーク管理者は、TACACS+(Terminal Access Controller Access-Control System)プロトコルをTLS 1.3上で使用して、ルーター、スイッチ、ファイアウォールなどのネットワークデバイスへのユーザーのアクセス制御と認証を最新化する必要があります。
TACACS+ は通常専用TCPポートを使用するため、Enderleは述べました。ファイアウォールルールはそれを考慮するために更新する必要があります。Cisco デバイスは、Identity Services Engine がこのプロトコルをサポートすることを保証するために、ISE 3.4パッチ(またはそれ以降)が必要な可能性があります。同様に、相互運用性を保証するために、TACACS+ に切り替える前に他のベンダーのガイダンスを参照する必要があります。
管理者は、レガシーアカウントも厳密に監査する必要があります。彼は述べました。これらはしばしば脅威アクターにとって最も抵抗の少ないパスであり、横展開を防ぐためです。
Firestarter マルウェアの影響を受けるCiscoデバイスには、Firepower 1000、2100、4100、9300、1200、3100、4200 Seriesファイアウォール、ならびにSecure Firewall 1200、3100、4200シリーズが含まれます。
