Ciscoファイアウォール脆弱性を悪用した米政府機関への侵害:「FIRESTARTER」マルウェアによる持続的アクセス
米連邦政府機関が9月、Ciscoファイアウォールの脆弱性を悪用した高度なハッカー集団によって侵害されました。攻撃者は「FIRESTARTER」と呼ばれるマルウェアを展開し、初期の脆弱性が修正された後も持続的なアクセスを維持していました。
## Ciscoファイアウォール脆弱性を悪用した米政府機関への侵害:「FIRESTARTER」マルウェアによる持続的アクセス
米連邦政府機関が9月、Ciscoファイアウォールの脆弱性を悪用した高度なハッカー集団によって侵害されました。攻撃者は「FIRESTARTER」と呼ばれるマルウェアを展開し、初期の脆弱性が修正された後も持続的なアクセスを維持していました。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、名称不明の省庁が「FIRESTARTER」マルウェアに感染し、攻撃者が当初の欠陥を再悪用することなく3月にCiscoデバイスへのアクセスを回復できたことを明らかにしました。
### CISAの対応
CISAは、FIRESTARTERマルウェアに関する勧告と、連邦民間機関が潜在的な感染を検出し軽減するために特定の措置を義務付ける更新された指示を発行しました。これは、Cisco Adaptive Security Appliances (ASA) に影響を与える2つの脆弱性、CVE-2025-20333およびCVE-2025-20362に関する9月の初期警告に続くものです。
CISAは、勧告の改訂は、脅威アクターがCisco FirepowerおよびSecure Firewall製品(ASAまたはFirepower Threat Defense (FTD) ソフトウェアを実行しているもの)への持続性と不正アクセスを維持していることを示す最新のサイバー脅威インテリジェンスによって促されたと述べています。
### ASA:主要な標的
ASAは、ファイアウォール、侵入防止、スパムフィルタリング、アンチウイルスチェックなど、複数のセキュリティ機能を単一のアプライアンスに統合しているため、政府や大企業で広く使用されています。
CISAは、継続的な監視プログラムを通じて、ASAソフトウェアを実行している米国のFCEB機関のCisco Firepowerデバイスで不審な接続を検出しました。フォレンジック調査により、FIRESTARTERマルウェアが発見されました。
### FIRESTARTERとLine Viperマルウェア
FIRESTARTERに加えて、攻撃者はLine Viperと呼ばれる別のマルウェア系統を展開し、VPN認証ポリシーをバイパスして不正な仮想プライベートネットワーク(VPN)セッションを確立しました。
FIRESTARTERは、侵害されたデバイスへのアクセスを維持する手段として機能し、ハッカーが2026年3月に「元の脆弱性を再悪用することなくアクセスを回復」できるようにしました。CVE-2025-20333およびCVE-2025-20362のパッチが適用される前に侵害されたデバイスは、FIRESTARTERにより脆弱なままです。FIRESTARTERの展開は2025年9月25日より前に行われましたが、正確な日付は不明です。
攻撃者はまた、その機関内でアクティブでなくなった連邦アカウントを利用しました。Line Viperは、脅威アクターに、管理者資格情報、証明書、秘密鍵を含む、被害者のFirepowerデバイス上のすべてへのアクセスを許可しました。
### 帰属と協力
CISAは攻撃を特定の国に公に帰属させていませんが、報告によると中国の国家利益との潜在的な関連性が示唆されています。
CISAは、これらの勧告に関して英国国家サイバーセキュリティセンター(NCSC)と協力しました。また、中国政府関連の脅威アクターが、以前に米国政府および重要インフラを標的としていることが特定された2つのグループ、Volt TyphoonとFlax Typhoonによって使用された戦術に言及しながら、侵害されたデバイスの秘密裏のネットワークを利用していることに関する別の通知を共同で発行しました。
### Ciscoの評価
9月、CiscoはCVE-2025-20333およびCVE-2025-20362の詳細な分析を発表し、2024年に発見されたArcaneDoorキャンペーンの背後にいるのと同じアクターとキャンペーンを自信を持って結びつけました。Ciscoはこれを国家支援の脅威アクターに帰属させていました。
### 連邦機関に求められる措置
CISAの勧告は、Ciscoファイアウォールデバイスに対する進行中のキャンペーンに対応するため、すべての連邦民間機関に義務付けられるいくつかの措置を概説しています。これには、システムに関する詳細情報の提出が含まれます。確認された侵害は、CISAからのさらなる指示を引き起こし、FIRESTARTERの持続性を排除するためにデバイスを物理的に切断することを含む可能性があります。
連邦機関は、特定の期限までにマルウェアチェックの完了を確認し、5月1日までにCisco Firepowerデバイスのインベントリを提供する必要があります。CISAは、8月1日までに国家サイバーディレクターおよびその他のホワイトハウスのリーダーにキャンペーンに関するレポートを提供します。
CISAは、9月の勧告に概説されている初期措置では、侵害されたシステムからマルウェアまたは攻撃者を完全に削除するには不十分であることを強調しています。すでにセキュリティアップデートを適用した機関も、更新された必須措置を完了する必要があります。CISAから特に指示されない限り、デバイスの切断は避けるように組織に注意が促されています。
CISAはまた、どの組織でもFIRESTARTER感染をチェックする方法に関するガイダンスを提供しています。
<a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future">