美國網路安全和基礎設施安全局 (CISA) 和英國國家網路安全中心週四發出警告，疑似國家支持的攻擊者正在使用定制後門持續入侵思科安全設備（防火牆）。「[Firestarter]惡意軟體(…)與思科Firepower和安全防火牆設備均相關；然而，網路安全和基礎設施安全局(CISA)目前只在運行ASA軟體的思科Firepower設備上成功觀察到該惡意軟體的植入。」網路安全和基礎設施安全局指出。

美國網路安全與基礎設施安全局 (CISA) 也分享了美國聯邦民事機構應使用的威脅搜尋規則，以便在自己的系統中搜尋惡意軟體的證據。

惡意軟體的持久化機制

這兩個機構認為，攻擊者（思科 Talos 將其追蹤為 UAT-4356）透過利用 CVE-2025-20333 和/或 CVE-2025-20362 漏洞，獲得了對面向互聯網的易受攻擊設備的初始存取權限。思科在 2025 年 9 月下旬修復了這些漏洞，當時這些攻擊最初被發現。

然後，威脅行為者部署了 Line Viper 後滲透植入程序，以建立繞過所有 VPN 身份驗證策略的 VPN 會話，最後植入 Firestarter 後門程序以實現持久性。Cisco Talos 的研究人員表示，Firestarter 透過操縱啟動設定清單將自身嵌入到設備的啟動序列中，確保每次設備正常重新啟動時都能自動重新啟動。

之後，它會處於休眠狀態，直到攻擊者透過精心建構的 WebVPN 驗證請求發送「魔法封包」將其觸發。當辨識到前綴位元組的秘密序列時，植入程式會直接執行記憶體中緊接著的 shellcode。結果是形成了一個按需執行通道，如果不進行深度內存取證或資料包層級檢查，就極難偵測到該通道。

Firestarter 具有強大的復原能力，因為每次裝置「正常」關機或重新啟動時，惡意軟體都會利用這個時間視窗備份自身，並在裝置離線之前重寫啟動指令。徹底移除植入物的唯一方法是強制斷電重啟，這意味著必須將設備物理斷開電源，而不是透過軟體重新啟動。研究人員解釋說，突然斷電可以阻止惡意軟體執行其生存程序。

尋找引火者

CISA指出，「CISA和NCSC評估認為，Firestarter可以在運行ASA或Firepower威脅防禦（FTD）軟體的思科設備上持續構成威脅，即使在打補丁後仍能保持持續存在，使威脅行為者能夠在不重新利用漏洞的情況下重新存取受感染的設備。」 並命令美國聯邦民事機構採取以下措施：

✔  確定他們管理的所有面向公眾的 Cisco ASA 平台。

✔  收集這些設備的工件和核心轉儲文件

✔  將核心轉儲檔案提交至 CISA 的下一代惡意軟體 (MNG) 平台

✔  應用 CVE-2025-20333 和 CVE-2025-20362 的補丁

如有必要，進行進一步的威脅檢查。CISA建議：“美國聯邦電腦緊急應變機構（FCEB）在採取進一步行動前，應先諮詢CISA。為保護證據，在收集和協調之前，應避免任何強制斷電和其他更改（例如重啟、打補丁、配置更改），因為這些操作可能會影響易失性資料。”

據思科稱，目前已知的唯一表明 Firestarter 入侵的跡像是存在一個名為lina_cs的惡意進程。磁碟上存在的其他檔案— /usr/bin/lina_cs和/opt/cisco/platform/logs/var/log/svc_samcore.log—也可能指向 Firestarter 的存在，但攻擊者可以輕易地修改這些檔案的名稱。

該公司表示，“冷啟動可以清除惡意持久植入程式”，但仍“強烈建議”重新映像並將裝置升級到已修復的軟體版本。

Cisco Talos 將 Firestarter 惡意軟體歸咎於 UAT-4356，該組織先前曾與2024 年 ArcaneDoor 攻擊活動有關，該活動涉及透過兩個零時差漏洞入侵 Cisco ASA 裝置。

資料來源：https://www.helpnetsecurity.com/2026/04/24/cisco-firepower-firestarter-backdoor/