米国CISAと英国NCSCが共同で警告を発した「Firestarter」マルウェアは、Cisco FirepowerおよびSecure Firewallデバイスに感染し、パッチ適用後もファームウェア更新後も生き残るという非常に厄介な永続化手法を持つ、国家レベルの攻撃ツールだ。「パッチを当てれば安全」という前提そのものを覆すこの事例は、すべてのネットワーク管理者が正面から受け止めるべき警告である。
攻撃の全体像——初期侵入から永続化まで
攻撃グループ UAT-4356(「ArcaneDoor」キャンペーンでも知られるサイバースパイ集団)は、2つのCVEを悪用して初期アクセスを獲得する。
- CVE-2025-20333: 認可チェック欠如(Missing Authorization)
- CVE-2025-20362: バッファオーバーフロー
まず「Line Viper」と呼ばれるユーザーモードのシェルコードローダーを展開し、VPNセッションを確立した上で管理者認証情報・証明書・秘密鍵を含む全設定情報を収集する。次に永続バックドア「Firestarter」(ELFバイナリ)を投下する、という2段階の構成だ。
Firestarter の「執拗な」永続化メカニズム
Firestarter の本当の脅威は、その永続化能力の徹底ぶりにある。
- LINA(Cisco ASAのコアプロセス)へのフッキング: プロセス終了シグナル(グレースフルリブート)を受けると自動的に再インストールルーティンを発動
CSP_MOUNT_LISTブートファイルの改ざん: 起動時の自動実行を確保- ログファイルパスへの偽装保存:
/opt/cisco/platform/logs/var/log/svc_samcore.logにコピーを隠蔽し、/usr/bin/lina_csとして動作 - ファームウェア更新・セキュリティパッチ適用後も生き残る
さらに、XMLハンドラーを改ざんしてメモリ内にシェルコードをインジェクトする機能も持つ。特定の WebVPN リクエストをトリガーとして、攻撃者が指定したペイロードをメモリ上で直接実行できるため、ファイルシステムに痕跡を残さない。検出が極めて難しい設計だ。
実務への影響——今すぐやるべきこと
侵害確認コマンド
Cisco は以下のコマンドによる確認を推奨している。
出典: この記事は Firestarter malware survives Cisco firewall updates, security patches の内容をもとに、筆者の見解を加えて独自に執筆したものです。