详细内容或原文请订阅后点击阅览
CISA 报告联邦网络中 Cisco ASA 设备上存在持久性 FIRESTARTER 后门
CISA 表示,联邦思科 Firepower ASA 设备于 2025 年 9 月感染了 FIRESTARTER 后门,并且在安全补丁中幸存下来。 CISA 透露,美国联邦民事机构运行 ASA 软件的思科 Firepower 设备于 2025 年 9 月遭到 FIRESTARTER 后门的破坏。据报道,即使在应用安全补丁后,该恶意软件仍然存在,[...]
来源:Security Affairs _恶意软件CISA 报告联邦网络中 Cisco ASA 设备上存在持久性 FIRESTARTER 后门
CISA 表示,联邦思科 Firepower ASA 设备于 2025 年 9 月感染了 FIRESTARTER 后门,并且在安全补丁中幸存下来。
CISA 透露,美国联邦民事机构运行 ASA 软件的 Cisco Firepower 设备于 2025 年 9 月遭到 FIRESTARTER 后门的破坏。据报道,即使在应用安全补丁后,该恶意软件仍然存在,表现出强大的隐秘性和针对检测和修复工作的恢复能力。
FIRESTARTER 是 CISA 和英国 NCSC 识别的后门,用于在可能针对 Cisco ASA 设备的 APT 活动中进行远程访问和控制。它利用现已修补的缺陷,包括 CVE-2025-20333(允许使用 VPN 凭据远程执行代码)和 CVE-2025-20362(允许通过精心设计的 HTTP 请求对受限制端点进行未经身份验证的访问)。
“网络安全和基础设施安全局 (CISA) 分析了从取证调查中获得的 FIRESTARTER 恶意软件样本。CISA 和英国国家网络安全中心 (NCSC) 评估认为,FIRESTARTER(一种允许远程访问和控制的后门)是一项广泛活动的一部分,该活动通过利用 CVE-2025-20333 为高级持续威胁 (APT) 攻击者提供对思科自适应安全设备 (ASA) 固件的初始访问权限[CWE-862:缺少授权]和/或CVE-2025-20362[CWE-120:经典缓冲区溢出]。”阅读 CISA 发布的报告。
CISA 和 NCSC 警告称,即使在修补后,FIRESTARTER 也可以持续存在于 Cisco ASA 或 Firepower 威胁防御系统上,从而使攻击者无需重新利用漏洞即可重新获得访问权限。美国联邦机构必须遵守 CISA 紧急指令 25-03。敦促组织使用提供的 YARA 规则来检测磁盘映像或核心转储中的恶意软件,并向 CISA 或 NCSC 报告任何发现。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼