文章总结： 美国CISA披露联邦机构思科ASA设备遭FIRESTARTER后门入侵，攻击者利用CVE-2025-20333和CVE-2025-20362漏洞实现初始访问。该后门具备持久化能力，可规避常规检测和补丁清除，通过挂钩LINA引擎执行恶意载荷。建议机构遵循CPG2.0基线、修复漏洞并监测异常行为，感染设备需整机重装或终止lina_cs进程处置。 综合评分： 87 文章分类： 漏洞分析,恶意软件,应急响应,威胁情报,安全建设

美国 CISA 披露，联邦网络内思科 ASA 设备遭植入持久化 FIRESTARTER 后门

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月27日 08:49 湖北

在小说阅读器读本章

去阅读

美国网络安全和基础设施安全局（CISA）披露，2025 年 9 月，美国某联邦民用机构一台运行 ASA 软件的思科火力（Firepower）设备遭FIRESTARTER后门入侵。据通报，即便设备部署安全补丁后，该恶意程序仍可持久驻留，具备极强的隐蔽性，能够有效规避各类检测与清除处置手段。

FIRESTARTER 是由美国 CISA 与英国国家网络安全中心（NCSC）联合披露的一款后门程序，主要用于远程接入与设备管控，隶属于一场针对性攻击思科 ASA 设备的高级持续性威胁（APT）活动。该恶意程序利用多个已修复高危漏洞实施入侵，包括CVE-2025-20333与CVE-2025-20362：前者可利用 VPN 凭据实现远程代码执行，后者借助特制 HTTP 请求，绕过权限限制非法访问受限终端。

CISA 官方报告指出：“网安与基础设施安全局已通过溯源取证分析获取 FIRESTARTER 恶意程序样本。经 CISA 与英国 NCSC 研判，这款可实现远程控制的后门程序，是大规模定向攻击行动的组成部分。威胁团伙利用CVE-2025-20333（CWE-862：授权缺失）及CVE-2025-20362（CWE-120：经典缓冲区溢出），获取思科自适应安全设备（ASA）固件的初始访问权限。”

CISA 与英国 NCSC 联合预警：思科 ASA 及火力威胁防御（FTD）设备即便完成补丁更新，FIRESTARTER 仍可长期驻留，攻击者无需再次利用漏洞，即可反复入侵受控设备。美国联邦机构需严格执行 CISA《25-03 紧急指令》。同时建议各机构导入官方 YARA 规则，针对磁盘镜像、内核转储文件开展恶意程序检测，发现异常线索及时上报 CISA 或 NCSC。

CISA 通过持续监测，在美国联邦机构一台思科 Firepower ASA 设备上发现异常行为；经核验与深度取证分析，确认设备感染 FIRESTARTER 恶意样本。攻击者入侵初期先投放LINE VIPER工具用于漏洞后渗透操作，后续部署 FIRESTARTER，以此建立长期持久化驻留通道。

该安全预警补充说明：“本次安全事件中，APT 攻击者首先投放 LINE VIPER 作为后渗透植入程序，随后部署 FIRESTARTER 作为持久化手段，持续维持对失陷设备的控制权限。尽管思科官方补丁已修复 CVE-2025-20333、CVE-2025-20362 两大漏洞，但打补丁前已被入侵的设备风险依旧存在 —— 固件升级无法清除 FIRESTARTER 后门。”

FIRESTARTER 是一款面向思科 Firepower 系列及安全防火墙设备的 Linux ELF 格式恶意程序，核心作用为构建命令与控制通道、实现远程操控。该程序可拦截系统终止指令并自动重启，以此实现持久化，普通设备重启、常规固件升级均无法彻底清除，仅完整断电重启才可临时阻断运行。

该恶意程序通过挂载钩子劫持 XML 常规处理函数，嵌入设备核心网络处理引擎 LINA，借此执行攻击者下发的 Shellcode 载荷，并持续投放 LINE VIPER 等更多恶意组件。

CISA 表示：“FIRESTARTER 会尝试在设备核心网络与安全处理引擎 LINA 中植入钩子，拦截并篡改系统正常运行逻辑。借助该钩子，APT 团伙可执行任意定制 Shell 代码，包括部署 LINE VIPER 恶意工具。”

程序运行后，FIRESTARTER 会从本地磁盘加载至内存，注册多类进程终止信号处理机制，内置清理与自我重装逻辑；通过篡改系统文件修复被修改的程序组件、抹去入侵痕迹，并迁移至新的持久化路径实现自保全。

持久化实现方面，该后门会将自身写入重启留存型日志目录，自动重建运行所需的缺失配置文件；追加开机自启脚本，将恶意程序二进制文件移入系统目录、赋予执行权限，后台静默运行并屏蔽错误日志，规避运维排查。

同时，恶意程序扫描 LINA 内存关键数据结构，向 libstdc++ 等共享库注入 Shellcode，劫持 XML 处理器执行流程。程序会先校验 WebVPN 流量中的目标专属标识，确认攻击对象匹配后，才会激活恶意载荷，实现精准定向攻击。

CISA 与英国 NCSC 建议各单位严格遵循《CPG 2.0》网络安全基线规范，及时修复已知漏洞。需注意：现有官方补丁无法清除 FIRESTARTER 持久化后门。企业需全面梳理网络边界设备资产，重点排查思科安全设备，常态化监测异常行为；严格审计特权账号、落实最小权限原则，定期轮换账号密码，升级访问管控机制，采用基于 TLS 1.3 的 TACACS + 等安全协议，减少凭据泄露风险、提升威胁检测能力。

思科塔洛斯（Cisco Talos）在报告中强调：“建议思科用户严格遵照官方安全公告指引操作，重点落实软件升级防护方案。受影响企业可提交 TAC 工单，获取思科官方技术支持。”针对已感染 FIRESTARTER 的设备，整机镜像重装可彻底清除恶意程序；针对未锁定运行模式的思科 FTD 设备，也可手动终止 lina_cs 进程后重启设备，完成应急处置。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《美国 CISA 披露，联邦网络内思科 ASA 设备遭植入持久化 FIRESTARTER 后门》