美國網路安全暨基礎設施安全局(CISA)表示,一個未具名的美國聯邦文職行政部門機關(FCEB)於 2025 年 9 月遭進階攻擊者入侵,入侵途徑與 Cisco 防火牆漏洞有關。CISA 在持續監控期間於該機關的 Cisco Firepower 裝置上發現可疑連線,後續鑑識確認該裝置已遭植入名為 FIRESTARTER 的惡意程式樣本。
CISA 說明,
FIRESTARTER 用於維持攻擊者的持續性,使威脅行動者在 2026 年 3 月仍可「不需重新利用原始漏洞」就再次回到同一台Cisco裝置。換言之,即使完成修補,若在修補前就已遭入侵,仍可能因殘留惡意程式而持續暴露於風險之中。
本案與 Cisco Adaptive Security Appliance(ASA)的兩個漏洞
CVE-2025-20333 與
CVE-2025-20362 有關。CISA 先前已於 2025 年 9 月要求聯邦機關完成修補,但最新威脅情資顯示,僅依當時的修補與處置未必足以徹底清除攻擊者。因此,CISA 發布 FIRESTARTER 分析報告並更新緊急指令,要求聯邦機關依新版流程進行檢測與回報。
除 FIRESTARTER 外,CISA 也揭露攻擊者部署另一款惡意程式
Line Viper。
該惡意程式可建立未經授權的 VPN 連線工作階段,繞過 VPN 驗證政策,並可能讓攻擊者存取 Firepower 裝置上的敏感資料,例如管理者憑證、各類憑據、憑證與私鑰。此外,也發現攻擊者濫用機關內「存在但已不再啟用」的聯邦帳號,作為入侵行動的一環。
在新版指引中,CISA 與英國國家網路安全中心(NCSC)同步發布相關公告,並另外提醒中國背景的威脅行動者可能運用大量遭入侵裝置組成隱蔽網路,涉及 Volt Typhoon 與 Flax Typhoon 等已知族群。Cisco 先前也曾以高度信心評估,相關攻擊活動與 2024 年揭露的 ArcaneDoor 行動同屬一系列國家級威脅。
防護與應對建議
- 優先確認 Cisco ASA(Adaptive Security Appliance)與 FTD(Firepower Threat Defense)相關裝置已完成 CVE-2025-20333 與 CVE-2025-20362 修補,並依 CISA 最新要求執行惡意程式檢測。
- 檢查是否存在異常 VPN 連線與可疑帳號活動,特別留意已停用帳號遭重新利用的跡象。
- 盤點並輪替裝置內的管理者憑證、各類憑據與金鑰,同時加強管理介面存取控管與稽核。
- 若研判可能已遭入侵,請依主管機關或資安團隊指引處置,避免自行斷電或移除設備,以免影響鑑識與復原。
本文轉載自 TheRecord。