後門程式FireStarter鎖定思科防火牆，中國駭客利用已知漏洞滲透裝置

4月23日思科威脅情報團隊Talos提出警告，他們掌握UAT-4356積極針對Firepower防火牆的情況，駭客利用Firepower eXtensible作業系統（FXOS）已知漏洞CVE-2025-20333及CVE-2025-20362，在未經授權的情況下存取尚未修補漏洞的裝置，最終植入後門程式FireStarter。此後門程式的主要功能，可讓攻擊者在ASA與FTD設備當中，濫用FXOS的核心元件Lina進行遠端存取與控制，或是執行任意程式碼。對此，Talos呼籲用戶應儘速依照指引採取行動因應。

具體來說，FireStarter可執行受害裝置收到的Shellcode，它會特別尋找WebVPN請求的XML檔案，只要請求資料符合指定的前綴（prefixing）特徵，該惡意軟體就會在記憶體執行。

針對FireStarter的載入手法，Talos指出第二階段使用的Shellcode、處理程式的功能函式替換、魔術位元組（magic bytes）的XML解析，以及最終有效酬載的執行，與另一支惡意軟體RayInitiator的部署手法存在關聯，相似的部分是RayInitiator的第三階段Shellcode，功能是將XML有效酬載傳送到端點API。

此後門程式成功啟動後，會讀取Lina處理程序的記憶體內容，尋找並驗證存在特定位置的記憶體的特定長度位元組，然後確認共用程式庫libstdc++.so的r-xp記憶體範圍。接著，它會將前述第二階段的Shellcode複製到指定的記憶體區域，複寫Lina處理程序記憶體裡的內部資料結構，藉此指向WebVPN特定、合法的XML處理功能函數。

上述惡意Shellcode會透過身分驗證API請求的部分處理程序觸發，解析輸入請求資料的特殊標記，於受害裝置執行有效酬載。

值得留意的是，由於UAT-4356濫用Cisco Service Platform（CSP）的掛載清單CSP_MOUNT_LIST，以此執行FireStarter，使得該惡意程式會在防火牆開機流程執行，從而達到持續於受害裝置活動的目的。Talos特別提到，在裝置斷電等硬體重開機的情況，此惡意軟體才會被移除。