Firestarter后门病毒侵袭Cisco防火墙，断电重启是唯一清除手段

安全研究人员发现了一种针对Cisco Systems防火墙的高危后门程序。该恶意软件利用未修补的漏洞实现持久化驻留，即便在漏洞修补完成后仍能保持活跃，这意味着攻击者无需再次利用漏洞便可持续访问已受攻陷的设备。

受威胁的设备包括运行Cisco ASA或Firepower软件的系统，涵盖部分Firepower及Secure Firewall设备系列。目前，美国网络安全和基础设施安全局（CISA）仅在一台运行ASA软件的Cisco Firepower设备上发现了这一被命名为"Firestarter"的恶意软件成功植入案例。

CISA与英国国家网络安全中心联合发布警告，建议各组织机构主动排查设备受损迹象。具体方式是生成核心转储文件，并使用推荐的YARA规则检测Firestarter恶意软件，该规则同样适用于磁盘镜像扫描。

一旦确认设备遭到入侵，应将其从所有电源（包括备用电源）完全断开至少一分钟，随后重新接通电源并重启设备。

联合公告特别指出："仅关机或重启设备是不够的，必须将设备从所有电源彻底断开，包括为冗余目的设置的备用电源。"此外，对设备进行重新镜像刷写也可清除Firestarter感染。

Cisco旗下Talos威胁情报服务在一份单独公告中指出，Firestarter背后的攻击组织被该机构追踪命名为UAT-4356，该组织长期将Firepower设备作为攻击目标。其他研究机构则将其称为Storm-1849，并将这场针对Cisco及其他厂商网络设备的攻击活动命名为"ArcaneDoor"，其起源可追溯至2023年。

CISA认为，威胁行为者于去年9月初，在相关补丁发布之前，通过利用CVE-2025-20333和/或CVE-2025-20362漏洞入侵了Cisco防火墙。

根据CISA分析的案例，攻击者随后部署了LineViper shellcode加载器，在目标设备上安装了一个VPN通道，使攻击者能够访问受陷Firepower设备的全部配置信息，包括管理员凭据、证书及私钥。随后，Firestarter后门被植入并与命令控制服务器建立连接，从而在漏洞修补完成后仍能维持持久化访问。这一系列操作均发生在两个漏洞的补丁发布之前。

Firestarter通过检测终止信号并自动重新启动来维持持久化，这也是它能在固件更新和设备重启后依然存活的原因——除非执行彻底断电操作。

Enderle Group的IT分析师Rob Enderle表示："Firestarter恶意软件深刻揭示了现代网络安全领域'打补丁了事'思维方式的根本缺陷。"

他进一步说明："这次攻击尤为特殊之处在于其技术层面的顽固性与反取证能力。该恶意软件会为SIGTERM或SIGHUP等终止信号注册回调函数，使其在管理员尝试终止进程时能自动重新启动。它深入LINA引擎的虚拟内存，对C++标准库进行钩子注入，拦截WebVPN请求以触发恶意载荷。通过'时间戳篡改'技术掩盖文件存在，并将错误信息重定向至/dev/null，使其几乎对传统检测工具完全隐身。"

他强调了CISA和Cisco的建议：要降低损害，受感染设备必须与所有电源（包括冗余电源）物理断开至少一分钟。这种"冷启动"操作可清除恶意软件所驻留的易失性内存，并破坏其开机持久化机制。

此外，Enderle建议网络管理员应通过采用基于TLS 1.3的TACACS+（终端访问控制器访问控制系统）协议，对路由器、交换机和防火墙等网络设备的用户访问控制与身份认证机制进行现代化升级。

他指出，TACACS+通常使用专用TCP端口，因此相关防火墙规则需要相应更新。Cisco设备可能需要安装ISE 3.4或更高版本补丁，以确保身份服务引擎支持该协议。同样，在切换至TACACS+之前，也应参阅其他厂商的相关指南，以确保互操作性。

此外，管理员还应严格审查历史遗留账户，这类账户往往是威胁行为者横向渗透的最低阻力路径。

受Firestarter恶意软件影响的Cisco设备包括：Firepower 1000、2100、4100、9300、1200、3100和4200系列防火墙，以及Secure Firewall 1200、3100和4200系列。

Q&A

Q1：Firestarter后门是什么？它有什么危险？

A：Firestarter是一种针对Cisco防火墙的持久化后门恶意软件，能够在漏洞修补完成后仍然存活。它通过注册终止信号回调函数实现自动重启，并深入LINA引擎拦截WebVPN请求触发恶意载荷，同时使用时间戳篡改技术规避传统检测工具，可使攻击者在设备固件更新或重启后持续保持访问权限。

Q2：发现设备感染Firestarter后应该怎么处理？

A：应立即将受感染设备从所有电源（包括备用冗余电源）完全断开至少一分钟，然后重新接通电源并重启，即执行"冷启动"操作。仅关机或普通重启并不足以清除该恶意软件，因为它驻留在易失性内存中。对设备进行重新镜像刷写也是有效的清除方式。

Q3：如何检测设备是否感染了Firestarter恶意软件？

A：管理员可通过生成设备核心转储文件，并使用CISA推荐的YARA规则进行扫描来检测Firestarter恶意软件。YARA规则同样可以对磁盘镜像文件运行。受影响设备包括Cisco Firepower及Secure Firewall系列，涵盖运行ASA或Firepower软件的相关型号。