美國聯邦機構的思科防火牆遭後門程式FireStarter攻擊

美國網路安全暨基礎設施安全局（CISA）、英國國家網路安全中心（NCSC）發布聯合公告，後門程式FireStarter的活動，是APT駭客廣泛鎖定思科防火牆ASA韌體攻擊的一部分。駭客利用缺乏授權漏洞CVE-2025-20333、記憶體緩衝區溢位漏洞CVE-2025-20362取得初期的存取管道，於ASA與FTD防火牆植入FireStarter，之後即便IT人員修補漏洞，攻擊者還是可在不需重覆利用漏洞的情況下，再次存取受害裝置。CISA特別發出緊急指令ED 25-03，要求美國聯邦機構立即採取行動，利用YARA特徵碼確認網路環境裡的思科防火牆設備是否受害。

CISA於其中一個聯邦機構發現FTD設備出現可疑連線，啟動鑑識調查後發現，有防火牆被植入FireStarter。駭客先在設備部署另一支惡意程式Line Viper，之後再使用FireStarter建立持續存取的管道。CISA強調，若是駭客成功利用CVE-2025-20333與CVE-2025-20362入侵，之後IT人員才套用修補程式，由於思科的更新軟體無法直接清除FireStarter，這些防火牆仍可能曝險。

針對這臺遭駭的防火牆，CISA無法確認駭客是否就是利用上述兩個漏洞取得初期的存取管道，不過他們推測遭到入侵的時間點落在2025年9月。駭客利用Line Viper建立非法的VPN連線，利用受害組織鮮少活動的使用者帳號繞過企業的VPN政策。然而，CISA也不排除駭客使用偽造帳號的可能性。至於駭客在受害設備植入FireStarter的時間，CISA推測是在9月25日之前，而且在IT人員套用修補程式後依舊存在。直到今年3月，APT駭客藉由FireStarter重新存取防火牆，並再次部署Line Viper。

CISA強調，由於FireStarter透過偵測終止訊號，並重新執行的方式持續運作，無論IT人員升級韌體還是重開機，該惡意程式都不會消失，只有在切斷防火牆電源的情況下才會被清除。