米国と英国のサイバーセキュリティ機関は、Adaptive Security Appliance (ASA) または Firepower Threat Defense (FTD) ソフトウェアを実行する**Cisco** FirepowerおよびSecure Firewallデバイス上で、Firestarterというカスタムマルウェアが永続化していることについて警告しています。 ### ArcaneDoorとの関連 このバックドアは、サイバー諜報活動で知られる脅威アクター、**Cisco Talos**が内部で**UAT-4356**と追跡しているものに帰属しており、**ArcaneDoor**などのキャンペーンも含まれます。 ### 初期アクセスにおける脆弱性の悪用 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（**CISA**）と英国国家サイバーセキュリティセンター（**NCSC**）は、攻撃者が認証漏れの問題（**CVE-2025-20333**）および/またはバッファオーバーフローのバグ（**CVE-2025-20362**）を悪用して初期アクセスを獲得したと考えています。 ### Line ViperとFirestarterの展開 連邦民間執行機関でのインシデントにおいて、**CISA**は、脅威アクターが最初にユーザーモードシェルコードローダーである**Line Viper**マルウェアを展開し、その後、パッチ適用後も継続的なアクセスを可能にする**Firestarter**を使用したことを確認しました。 「**CISA**は初期悪用の正確な日付を確認していませんが、2025年9月上旬に侵害が発生し、機関がED 25-03に従ってパッチを実装する前であったと評価しています」と、同機関はアラートで述べています。 **Line Viper**は、VPNセッションを確立し、侵害されたFirepowerデバイス上のすべての設定詳細（管理者認証情報、証明書、秘密鍵を含む）にアクセスするために使用されます。 次に、永続化のために**Firestarter**バックドアのELFバイナリが展開され、必要に応じて脅威アクターがアクセスを回復できるようになります。 ### 永続化メカニズム **Firestarter**がデバイスに潜伏すると、再起動、ファームウェアアップデート、セキュリティパッチ適用後も永続性を維持します。さらに、バックドアは終了されても自動的に再起動します。 永続性は、コア**Cisco ASA**プロセスであるLINAにフックし、再インストールのルーチンをトリガーするシグナルハンドラを使用することで実現されます。 両サイバーセキュリティ機関による共同マルウェア分析レポートによると、**Firestarter**は起動時の実行を保証するためにCSP_MOUNT_LISTブート/マウントファイルを変更し、/opt/cisco/platform/logs/var/log/svc_samcore.logに自身のコピーを保存し、バックグラウンドで実行される/usr/bin/lina_csに復元します。 **Cisco Talos**もマルウェアの分析を発表しており、永続化メカニズムは、正常な再起動としても知られるプロセス終了シグナルを受信したときにトリガーされると述べています。 研究者たちはFirestarterレポートで、バックドアが以下のコマンドを使用して自身に永続性を設定したと指摘しています：  ### バックドア機能 このインプラントの主な機能はリモートアクセスのためのバックドアとして機能することであり、攻撃者が提供するシェルコードを実行することもできます。 これは、**Firestarter**がXMLハンドラを変更してLINAにフックし、メモリにシェルコードを注入して、制御された実行パスを作成するメカニズムを通じて行われます。 このシェルコードは、特別に細工されたWebVPNリクエストによってトリガーされ、ハードコードされた識別子を検証した後、攻撃者が供給したペイロードをメモリに直接ロードして実行します。 ただし、**CISA**は、攻撃で観察された特定のペイロードに関する詳細を提供していません。 ### Ciscoの推奨事項 **Cisco**は、永続化メカニズムの削除に関する緩和策と回避策、および**Firestarter**インプラントを発見するための侵害指標を含むセキュリティアドバイザリを公開しました。 ベンダーは、「侵害されたケースとされていないケースの両方をカバーする、修正されたリリースを使用してデバイスを再イメージ化およびアップグレードすることを強く推奨します」と述べています。 侵害を判断するために、管理者は「show kernel process | include lina_cs」コマンドを実行する必要があります。結果として出力がある場合、そのデバイスは侵害されていると見なされるべきです。 デバイスの再イメージ化が現在不可能である場合、**Cisco**は、コールド再起動（デバイスの電源を切断すること）でマルウェアが削除されると述べています。ただし、この代替策は、データベースまたはディスクの破損のリスクを伴い、起動問題につながる可能性があるため推奨されません。 **CISA**はまた、ディスクイメージまたはデバイスのコアダンプに適用された場合に**Firestarter**バックドアを検出できる2つのYARAルールを共有しました。