Cisco Talos は、UAT-4356 が Cisco Firepower デバイスの Firepower eXtensible Operating System(FXOS)を標的として、積極的に攻撃を継続していることを確認しています。UAT-4356 は、n-day 脆弱性(CVE-2025-20333 および CVE-2025-20362)を悪用して脆弱なデバイスに不正アクセスし、「FIRESTARTER」という独自開発のバックドアを展開していました。FIRESTARTER の技術的機能は、RayInitiator の Stage 3 シェルコードの機能と大きく重複しており、受信した XML ベースのペイロードをエンドポイント API で処理します。
Cisco Talos は 2024 年の早い段階で、ネットワーク境界デバイスへの不正アクセスを通じてスパイ活動を行う国家支援型攻撃 ArcaneDoor を実行しているグループが、UAT-4356 であることを特定しました。
緩和策と検出ガイダンス、侵害指標(IOC)、影響を受ける製品、および適用可能なソフトウェア アップグレードの推奨事項については、シスコのセキュリティアドバイザリを参照してください。
FIRESTARTER バックドア
FIRESTARTER は、UAT-4356 によって埋め込まれた悪意のあるバックドアであり、LINA プロセス内で任意コードの実行を可能にするリモートアクセスおよび制御機能を提供します。LINA は、FXOS 上で動作する Cisco ASA および FTD アプライアンスの中核コンポーネントです。
永続化
UAT-4356 は、Cisco Service Platform(CSP)のマウントリスト「CSP_MOUNT_LIST」を操作することで、侵害したデバイス上で FIRESTARTER の永続化を実現しました。このマウントリストにより、デバイスの起動シーケンスの一部として、プログラムやコマンドを実行できます。この永続化メカニズムは、グレースフルリブート時(すなわち、プロセス終了シグナルを受信した場合)にトリガーされます。また、FIRESTARTER はランレベルが 6(デバイスの再起動を示す)であるかを確認します。一致した場合は、自身をバックアップ先「/opt/cisco/platform/logs/var/log/svc_samcore.log」に書き込み、CSP_MOUNT_LIST を更新して自身を「/usr/bin/lina_cs」にコピーしてから実行します。再起動後に FIRESTARTER が実行されると、元の CSP_MOUNT_LIST を復元し、トロイの木馬化されたコピーを削除します。このランレベルにより一時的な永続化メカニズムが確立されるため、ハードリブート(たとえばデバイスの電源を切断した場合など)を実行すると、インプラントはデバイスから効果的に削除されます。
FIRESTARTER は、この一時的な永続化メカニズムを用いて自身の永続性を確立するために、次のコマンドを使用します。
インプラントは LINA プロセスに自身を挿入すると、一時コピー(「CSP_MOUNTLIST.tmp」)から CSP_MOUNT_LIST を復元し、その後、一時コピーおよびディスク上の FIRESTARTER ファイル(「/usr/bin/lina_cs」)を削除して、永続化メカニズムの痕跡を消去します。
FIRESTARTER のバックドア機能
FIRESTARTER には、デバイスが受信した任意のシェルコードを実行する機能があります。ハードコードされたオフセットによって指定される LINA プロセスのメモリ内の事前定義ハンドラ関数は、提供されたデータを解析する不正なハンドラルーチンに置き換えられます。FIRESTARTER は、特に WebVPN リクエストの XML を探索します。受信したリクエストデータがカスタム定義された特定のプレフィックスパターンに一致する場合、その直後に続くシェルコードがメモリ内で実行されます。プレフィックスバイトが見つからない場合、そのデータは通常のリクエストデータとして処理され、(存在する場合は)元のハンドラ関数に渡されます。
FIRESTARTER のロードメカニズム、Stage 2 シェルコード(実際のリクエストハンドラ コンポーネント)、ハンドラ関数の置き換え、マジックバイトを検出するための XML 解析、および最終ペイロードの実行は、RayInitiator の Stage 3 展開動作および関連アーティファクトと大きく重複しています。
LINA への悪意のあるシェルコードの挿入と起動
FIRESTARTER はまず、LINA プロセスのメモリを読み取り、特定のメモリ位置に 0x1、0x2、0x3、0x4、0x5(long 型)のバイト列が存在するかを検索・検証します。見つかった場合、FIRESTARTER はプロセスのメモリを調査し、共有ライブラリ「libstdc++.so」に対応する「r-xp」のメモリ領域を特定します。その後、次段階(Stage 2)のシェルコードをそのメモリ領域の末尾 0x200 バイトにコピーします。続いて、LINA プロセスのメモリ内の内部データ構造を上書きし、WebVPN 用の正規の XML ハンドラ関数へのポインタを、悪意のある Stage 2 シェルコードのアドレスに置き換えます。
この悪意のあるシェルコードは、認証 API のリクエスト処理の一部として起動されます。起動後は、受信したリクエストデータを解析し、実行可能なペイロードを示すマジックマーカーを探索します。見つかった場合は、侵害を受けたデバイス上でペイロードが実行されます。
検出ガイダンス
以下のアーティファクト(特にファイル名「lina_cs」および「svc_samcore.log」)の存在は、信頼性はやや低いものの、Firepower デバイス上に FIRESTARTER が存在する可能性を示唆します。
● 以下のコマンドの出力:
show kernel process | include lina_cs
● ディスク上に存在する以下のファイル:
/usr/bin/lina_cs
/opt/cisco/platform/logs/var/log/svc_samcore.log
より包括的な検出ガイダンスについては、シスコのセキュリティアドバイザリを参照してください。また、詳細情報と追加のガイダンスについては、CISA の V1 アップデート「緊急指令(ED)25-03:シスコデバイスの潜在的侵害の特定と緩和策」および FIRESTARTER バックドアのマルウェア分析レポートも参照してください。
緩和策およびカバレッジ
シスコをご利用のお客様には、シスコのアドバイザリで推奨されている手順に従って対応することをお勧めします。特に、該当するソフトウェアのアップグレードに関する推奨事項にご注意ください。なお、対象のデバイスをご利用の場合は、TAC リクエストを作成してシスコサポートを利用できます。
FIRESTARTER の感染は、影響を受けたすべてのデバイスにおいて、デバイスの再イメージ化を行うことで軽減できます。
ロックダウンモードでない Cisco FTD ソフトウェアでは、lina_cs プロセスを強制終了した後にデバイスを再起動する方法もあります。
> expert
$ sudo kill -9 $(pidof lina_cs)
$ exit
> reboot
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
脆弱性 CVE-2025-20333 および CVE-2025-20362 に対応する Snort ルール:65340、46897
FIRESTARTER に対応する Snort ルール:62949
この脅威を検出する ClamAV シグネチャ:Unix.Malware.Generic-10059965-0
Authors