FIRESTARTER Backdoor

翻譯為：

網路安全分析師揭露，一家未具名的聯邦民事機構於2025年9月遭遇入侵，涉及一台運行自適應安全設備（ASA）軟體的思科Firepower設備。調查人員發現了一種名為FIRESTARTER的先前未被記錄的惡意軟體，該軟體旨在提供對受影響系統的隱藏遠端存取和長期控制。

據信，入侵是進階持續性威脅 (APT) 組織針對 Cisco ASA 韌體發起的更廣泛攻擊活動的一部分，該組織利用已知的漏洞（這些漏洞後來已被修復）進行攻擊。

據報道，攻擊者利用思科的兩個嚴重安全漏洞入侵了暴露的設備：

CVE-2025-20333 (CVSS 9.9): 輸入驗證不當，允許具有有效 VPN 憑證的已認證遠端攻擊者透過精心建構的 HTTP 請求以 root 身分執行任意程式碼。
CVE-2025-20362 (CVSS 6.5): 輸入驗證不當，允許未經身份驗證的遠端攻擊者使用精心建構的 HTTP 請求存取受限 URL 端點。

雖然有補丁可用，但在修復之前被入侵的系統可能仍然處於受損狀態。

FIRESTARTER 的顯著特點在於它能夠在韌體升級和標準重啟後繼續運行。該惡意軟體透過修改裝置的掛載順序嵌入到啟動過程中，從而在裝置正常重新啟動時自動重新啟動。

只有強制斷電才能暫時中斷植入程序。標準的關機、重新啟動或重新啟動命令無法將其移除。研究人員也注意到 FIRESTARTER 與早期名為 RayInitiator 的啟動工具包有相似之處。

調查人員發現，FIRESTARTER 試圖在 LINA（思科 ASA 網路處理和安全操作的核心引擎）內部植入一個鉤子。這種操控使得攻擊者能夠攔截正常的網路功能，並執行透過精心建構的 WebVPN 驗證請求傳遞的任意 shellcode，這些請求中包含所謂的「魔術包」。

即使漏洞已被修復，此機制仍能使惡意活動持續進行。

在同一事件中，攻擊者部署了一個名為 LINE VIPER 的後滲透框架，該框架顯著增強了對受感染環境的控制。據觀察，該工具包執行以下操作：

據報道，LINE VIPER 提供的更高權限為 FIRESTARTER 在 2025 年 9 月 25 日之前部署鋪平了道路。攻擊者甚至在上個月還能再次存取該設備。

研究人員追蹤代號為 UAT4356（又稱 Storm-1849）的漏洞利用活動，發現該活動與先前的攻擊活動有關。 2024 年 5 月的評估表明，該活動可能與中國有關。

該集群先前與 ArcaneDoor 有關聯，ArcaneDoor 是利用思科兩個零日漏洞部署客製化惡意軟體的活動，用於偵察和網路流量攔截。

安全專家強烈建議，任何已確認涉及 Cisco Secure ASA 或 Firepower Threat Defense (FTD) 平台的安全漏洞都應視為完全信任失效。現有設備配置應視為不可靠。

若要徹底清除 FIRESTARTER，企業應重新安裝受影響設備的系統鏡像，並升級至思科的修復版軟體。在重新安裝系統鏡像完成之前，建議透過實體斷開並重新連接裝置電源進行冷啟動，因為基於軟體的重新啟動命令無法移除持久性植入程式。

搜索