米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2025年9月に連邦政府機関のCisco Firepower機器が侵害されたと報告しました。この攻撃では、持続的なリモートアクセス用バックドアとして設計された新たなマルウェア「FIRESTARTER」が使用されました。この発見は、英国国家サイバーセキュリティセンター(NCSC)と共有されました。
FIRESTARTER:セキュリティアップデートを無視するバックドア 🔥
マルウェアFIRESTARTERは、攻撃者が侵害された機器をリモート制御し続けることを可能にするバックドアとして動作します。最も憂慮すべき点は、Adaptive Security Appliance(ASA)ソフトウェアを実行していたCisco Firepower機器に適用されたセキュリティパッチをすり抜けて生存したことです。これは、このマルウェアが高度な永続化技術を採用しており、メモリ内に隠れたり、ファームウェアの文書化されていない欠陥を悪用したりすることで、従来のパッチ適用方法による検出や根絶を困難にしている可能性を示しています。
何もパッチしなかったが、それでも料金を請求したパッチ 💀
ネットワーク管理者は安心して眠れることを期待してパッチを適用しましたが、FIRESTARTERは家賃を払わない住人のようにルーターに居座ることにしました。CISAとNCSCは現在、ログの確認を推奨していますが、攻撃者は仮想コーヒーを楽しみながら、すでに痕跡を消していることは間違いありません。このマルウェアよりも持続的なのは、パスワード変更を承認するための官僚主義だけです。