FIRESTARTER Backdoor

翻译为：

网络安全分析师披露，一家未具名的联邦民事机构于2025年9月遭遇入侵，涉及一台运行自适应安全设备（ASA）软件的思科Firepower设备。调查人员发现了一种名为FIRESTARTER的此前未被记录的恶意软件，该软件旨在提供对受影响系统的隐蔽远程访问和长期控制。

据信，此次入侵是高级持续性威胁 (APT) 组织针对 Cisco ASA 固件发起的更广泛攻击活动的一部分，该组织利用已知的漏洞（这些漏洞后来已被修复）进行攻击。

据报道，攻击者利用思科的两个严重安全漏洞入侵了暴露的设备：

CVE-2025-20333 (CVSS 9.9): 输入验证不当，允许具有有效 VPN 凭据的已认证远程攻击者通过精心构造的 HTTP 请求以 root 身份执行任意代码。
CVE-2025-20362 (CVSS 6.5): 输入验证不当，允许未经身份验证的远程攻击者使用精心构造的 HTTP 请求访问受限 URL 端点。

虽然已有补丁可用，但在修复之前被入侵的系统可能仍然处于受损状态。

FIRESTARTER 的显著特点在于它能够在固件升级和标准重启后继续运行。该恶意软件通过修改设备的挂载顺序嵌入到启动过程中，从而在设备正常重启时自动重新激活。

只有强制断电才能暂时中断植入程序。标准的关机、重启或重新启动命令无法将其移除。研究人员还注意到 FIRESTARTER 与早期名为 RayInitiator 的启动工具包存在相似之处。

调查人员发现，FIRESTARTER 试图在 LINA（思科 ASA 网络处理和安全操作的核心引擎）内部植入一个钩子。这种操控使得攻击者能够拦截正常的网络功能，并执行通过精心构造的 WebVPN 身份验证请求传递的任意 shellcode，这些请求中包含所谓的“魔术包”。

即使漏洞已被修复，这种机制仍能使恶意活动继续进行。

在同一事件中，攻击者部署了一个名为 LINE VIPER 的后渗透框架，该框架显著增强了对受感染环境的控制。据观察，该工具包执行以下操作：

据报道，LINE VIPER 提供的更高权限为 FIRESTARTER 在 2025 年 9 月 25 日之前部署铺平了道路。攻击者甚至在上个月还能再次访问该设备。

研究人员追踪代号为 UAT4356（又名 Storm-1849）的漏洞利用活动，发现该活动与之前的攻击活动有关联。2024 年 5 月的评估表明，该活动可能与中国有关。

该集群此前与 ArcaneDoor 有关联，ArcaneDoor 是一场利用思科两个零日漏洞部署定制恶意软件的活动，用于侦察和网络流量拦截。

安全专家强烈建议，任何已确认涉及 Cisco Secure ASA 或 Firepower Threat Defense (FTD) 平台的安全漏洞都应视为完全信任失效。现有设备配置应被视为不可靠。

要彻底清除 FIRESTARTER，企业应重新安装受影响设备的系统镜像，并升级到思科的修复版软件。在重新安装系统镜像完成之前，建议通过物理断开并重新连接设备电源进行冷启动，因为基于软件的重启命令无法移除持久性植入程序。

搜索