2026-04-25 05:16:49 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 思科防火墙遭国家级黑客组织UAT-4356植入Firestarter后门，即使应用官方补丁后仍能通过劫持重启信号、篡改启动配置实现持久化。攻击者利用CVE-2025-20333和CVE-2025-20362漏洞在补丁发布前入侵，2026年3月重新激活后门。CISA确认唯一清除方式为物理断电，建议对可疑设备进行核心转储分析并重装系统映像。 综合评分： 85 文章分类： 恶意软件,漏洞分析,威胁情报,解决方案,网络安全

cover_image

补丁之后，幽灵犹在：思科防火墙“Firestarter”后门事件剖析

原创

网空闲话网空闲话

网空闲话plus

2026年4月24日 07:37 北京

在小说阅读器读本章

去阅读

2026年4月23日，美国网络安全与基础设施安全局（CISA）与英国国家网络安全中心（NCSC）联合发布了一份恶意软件分析报告，揭露了一个名为“Firestarter”的定制后门程序。该后门程序由国家级黑客组织UAT-4356（思科Talos命名）植入思科Firepower和Secure Firewall设备，其最令人不安的特性在于：即使在应用了思科官方安全补丁之后，攻击者仍然能够长期藏匿于设备之中，保持对受感染网络的远程访问能力。这一发现彻底颠覆了“及时打补丁即可消除漏洞”的传统安全认知。CISA在2025年9月25日首次发布紧急指令ED 25-03，要求联邦机构修补CVE-2025-20333和CVE-2025-20362两个漏洞。然而，2026年4月的最新调查显示，补丁可以封堵初始入侵路径，却无法清除早已植入的后门。攻击者在2026年3月——距离首次入侵近六个月后——重新激活了恶意软件，继续实施间谍活动。基于CISA/NCSC联合分析报告、思科Talos威胁情报以及CISA更新的紧急指令，深入剖析Firestarter的技术机理，解答一个核心问题：为什么打了补丁，黑客仍然在？

一、Firestarter恶意软件的核心机理

1.1 攻击时间线与补丁困境

根据CISA的取证分析，攻击者的入侵发生在2025年9月初，利用的是两个漏洞：

CVE-2025-20333：VPN Web服务器组件中的远程代码执行漏洞（缺失授权）
CVE-2025-20362：经典缓冲区溢出漏洞，可导致未授权访问

思科于2025年9月25日发布了针对这两个漏洞的安全补丁。然而，关键问题在于：该联邦机构的设备在补丁发布之前已经被入侵并植入了Firestarter后门。 补丁修复了漏洞本身，但不会主动删除已存在的恶意软件。因此，当该机构按照ED 25-03要求应用补丁后，Firestarter依然在设备中活跃运行。

CISA在报告中明确指出：“在本次事件中，APT行为者在2025年9月25日之前就在Firepower设备上部署了Firestarter（具体日期未知）。由于它在打补丁之前就已存在，Firestarter在修复过程中持续存在，并在受害设备上建立了命令与控制（C2）通道。”

1.2 持久化机制：为何重启和固件更新都无效

Firestarter最精妙的设计在于其持久化机制。它不是简单地写入某个启动脚本，而是深度嵌入设备的启动流程。

第一步：信号劫持。 Firestarter执行后，会注册一个回调函数，监听以下终止相关信号：SIGTERM、SIGINT、SIGQUIT、SIGABRT、SIGHUP、SIGTSTP。当设备收到这些信号（例如正常重启命令）或进入运行级别6（重启级别）时，回调函数被触发。

第二步：自我复制到持久目录。 触发后，Firestarter首先检查/opt/cisco/platform/logs/var/log/目录是否存在，若不存在则创建并赋予完全读写执行权限。然后，它打开该目录下的svc_samcore.log文件，将自身完整复制进去。这个目录在设备重启后依然保留，属于“重启持久化目录”。

第三步：操纵CSP_MOUNT_LIST。 Firestarter随后检查/opt/cisco/config/platform/rmdb/CSP_MOUNT_LIST文件是否存在。该文件是控制设备启动序列期间执行程序的配置文件。如果文件缺失（攻击者之前已删除），Firestarter会重新创建它，并追加一段脚本。该脚本的作用是：将svc_samcore.log（即Firestarter的副本）移动回/usr/bin/lina_cs，赋予执行权限，并在后台运行。

第四步：清理痕迹。 恶意软件会删除临时文件、修改文件时间戳（timestomp技术）使其与原始文件一致，并将所有标准错误重定向到/dev/null，隐藏所有控制台输出。

效果总结： 当设备收到重启指令时，Firestarter不是被动地被终止，而是主动在关机前将自己复制到安全位置，并篡改启动配置，确保下一次开机时自己重新被拉起。标准的软件重启（reboot命令）无法清除这一机制。 思科和CISA均确认，只有硬重启——即物理断开设备与所有电源的连接——才能将持久化机制从内存中清除。

1.3 内存注入与后门触发

在正常运行时，Firestarter会枚举LINA（思科ASA/FTD的核心网络处理引擎）的虚拟内存映射，定位可读写数据段，并通过自定义算法解析XML处理程序表。随后，它扫描libstdc++.so库的可执行代码段，在距离代码段末尾0x200字节的位置注入一段shellcode。

这段shellcode成为“钩子”，当LINA处理WebVPN请求中特定XML标签（<group-select>元素）时触发。恶意软件会检查请求中是否包含硬编码的8字节ASCII字符串（受害者唯一标识）以及另一个8字节的受害者特定ID。验证通过后，攻击者提供的下一阶段载荷被复制到LINA内存中，通过mprotect启用执行权限，从而实现任意代码执行。

这意味着，攻击者只需向受感染的防火墙发送一个看似正常的WebVPN请求（其中包含特定的触发字符串），即可在设备上执行任意命令，而这一切都不需要重新利用原始漏洞。

二、为什么应用补丁后仍然存在？——根本原因分析

2.1 补丁的时间窗口：先感染，后修补

这是最直接的原因。CISA确认，该联邦机构设备在2025年9月25日补丁发布之前已被入侵。攻击者有充分的时间部署Firestarter并建立持久化。当机构随后应用补丁时，补丁只修复了漏洞的利用路径（即阻止攻击者再次通过CVE-2025-20333或CVE-2025-20362进入），但对于已经存在于系统中的后门毫无影响。

思科Talos在研究中也明确指出：“在打补丁之前被入侵的设备可能仍然携带植入程序。”

2.2 持久化机制不依赖于漏洞

Firestarter的持久化机制不利用任何漏洞，而是滥用操作系统和思科设备本身的正常功能。它通过修改CSP_MOUNT_LIST（一个合法的启动配置文件）和挂载信号处理函数来实现自动重启。这些行为看起来像是系统管理操作，而非恶意活动。因此，单纯修复漏洞的补丁不会触及这些文件或机制。

CISA报告中的关键表述：“FIRESTARTER can persist as an active threat on Cisco devices … maintaining post-patching persistence and enabling threat actors to re-access compromised devices without re-exploiting vulnerabilities.” ——“Firestarter可以在打补丁后持续作为活跃威胁存在，使攻击者无需重新利用漏洞即可重新访问受损设备。”

2.3 固件更新的局限性

固件更新通常只替换系统核心二进制文件和配置文件，但Firestarter将自己的副本存储在了/opt/cisco/platform/logs/var/log/svc_samcore.log——一个日志目录中。固件更新不会清理日志文件。更重要的是，CSP_MOUNT_LIST被篡改后，固件更新可能不会恢复这个配置文件。因此，即使固件版本升级了，恶意启动脚本依然存在。

CISA和思科共同建议：如果怀疑设备已被入侵，应重新安装系统映像（即彻底重装），而不是仅仅依赖软件更新。

三、关联攻击：从ArcaneDoor到Firestarter

思科Talos将UAT-4356与2024年名为“ArcaneDoor”的间谍活动联系起来。在ArcaneDoor事件中，同一组织使用了名为“RayInitiator”的植入程序。CISA分析发现，Firestarter与RayInitiator在技术上有显著相似性，尤其是在第三阶段部署路径上。这表明两个工具集拥有共同的起源或开发历史。

在本次联邦机构事件中，攻击者首先部署了一个名为Line Viper的独立植入程序，用于获取设备配置、管理凭证、证书和私钥。随后，攻击者安装了Firestarter作为持久化机制。当该机构在2025年9月底应用补丁后，Firestarter幸存下来。到了2026年3月，攻击者利用Firestarter重新部署了Line Viper，距离初始入侵已近六个月。

CISA在2026年4月23日发布的紧急指令更新版（V1: ED 25-03）中，将Firepower 1000、2100、4100、9300系列以及Secure Firewall 1200、3100、4200系列纳入紧急审计范围，要求所有联邦民事机构在2026年4月24日前提交设备核心转储以供分析。

四、归因与地缘政治维度

CISA和NCSC并未将此次攻击正式归因于特定国家。然而，安全研究公司Censys此前表示，他们发现了“确凿的证据”，表明一个威胁组织是ArcaneDoor攻击活动的幕后黑手。Censys指出，在调查2024年初发生的攻击过程中，他们发现了多个国家级大型网络以及某国开发的反审查软件的证据。

思科Talos将Firestarter归因于UAT-4356，并将其与ArcaneDoor关联。但无论是CISA还是思科，均未在本次报告中明确指认具体国家。

五、防御措施与应对建议

5.1 检测方法

由于Firestarter不产生常规日志事件，标准的日志分析无法有效检测。CISA提供的YARA规则是当前最可靠的检测手段，但必须应用于设备核心转储（core dump）或磁盘镜像，而非运行中的系统日志。

CISA要求联邦机构运行show checkheaps和show tech-support detail命令，保存完整输出，并生成核心转储提交至CISA的Malware Next Generation平台进行分析。

5.2 清除方法：硬重启是唯一途径

CISA和NCSC均确认，只有物理断开设备与所有电源的连接，才能从内存中清除Firestarter的持久化机制。 具体步骤：

定位物理设备
在设备仍在通电状态下，拔掉所有电源线（包括冗余电源）
保持完全断电至少一分钟
重新接通电源并允许设备重启

注意： 仅执行软重启（reboot命令）或通过管理界面关机再开机是无效的。必须物理断电源。

5.3 长期加固

尽快应用思科针对此持久化问题发布的专用补丁（2026年4月发布）
对已确认或高度怀疑被入侵的设备，应重新安装系统映像，而非仅打补丁
实施TACACS+ over TLS 1.3加密管理流量
定期轮换特权账户密码

结论

“打补丁就能安全”这一根深蒂固的观念，在Firestarter面前被彻底击碎。国家级黑客组织已经掌握了在补丁发布之前抢先进驻、在补丁应用之后依然盘踞的能力。Firestarter的真正危险不在于它利用了多么复杂的漏洞，而在于它巧妙地滥用了设备自身的正常机制——信号处理、启动配置、日志存储——来实现固件更新都无法驱逐的持久化。

CISA在紧急指令中承认：“截至发布之时，针对这些底层漏洞的积极利用仍在进行中。”这意味着，可能仍有大量未发现的Firestarter植入程序潜伏在全球各类组织的网络边界设备中。而唯一的清除方法——物理断电——对于分布在数百个地理位置、承载关键业务流量的防火墙而言，是一项代价高昂且极具风险的操作。

这一事件向全球网络安全界发出了一个清晰的信号：漏洞修补只是安全生命周期的一环，而非终点。 对网络边界设备的主动狩猎、内存层面的取证分析、以及针对持久化机制的专门清除流程，必须成为每个高风险组织的标准操作程序。否则，攻击者将像Firestarter所展示的那样——在补丁的光芒照耀下，依然藏身于阴影之中。

参考资源

1、https://cyberscoop.com/cisco-firestarter-malware-cisa-warning/

2、https://www.cisa.gov/news-events/analysis-reports/ar26-113a

3、https://www.cisa.gov/news-events/directives/v1-ed-25-03-identify-and-mitigate-potential-compromise-cisco-devices

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话网空闲话《补丁之后，幽灵犹在：思科防火墙“Firestarter”后门事件剖析》