美國聯邦機構的思科防火牆遭後門程式FireStarter攻擊
攻擊細節與背景
思科警告中國駭客組織UAT-4356(Storm-1849)最新一波攻擊行動,該廠牌防火牆設備遭到鎖定,駭客試圖植入後門程式FireStarter。此惡意軟體能夠在思科ASA與FTD設備中,濫用FXOS的核心元件Lina進行遠端存取與控制,或執行任意程式碼。
後門程式特性與影響
FireStarter後門程式的主要特點是能夠「繞過安全性修補程式」,即使系統更新後仍能繼續存活,這使得攻擊者可以長期潛伏於系統中,並在需要時重新取得控制權。
當局反應與警告
美國與英國當局已關注此事件,並發出警告。美國網路安全與資訊系統局(CISA)指出,某個未命名的聯邦機構已感染此惡意軟體,並允許駭客透過該後門重新取得對思科設備的訪問權。
相關漏洞與技術背景
- 攻擊利用了思科先前修補的防火牆漏洞,包括CVE-2025-20333及CVE-2025-20362。
- 該攻擊行動顯示惡意軟體設計可於固件升級後仍存活,屬於APT(長期潛伏式攻擊)的典型手法。
專家建議
思科威脅情報團隊Talos呼籲用戶應儘速依照官方指引,更新防火牆系統並加強安全設定,以防止類似攻擊。