Cisco Firepower の脆弱性 CVE-2025-20333/20362:パッチ未適用環境に APT がバックドアを展開

Hackers Exploit Cisco Firepower N-Day Flaws for Unauthorized Access

2026/04/24 gbhackers — Cisco Firepower デバイスにおける既知の脆弱性 CVE-2025-20333/CVE-2025-20362 を積極的に悪用する、国家支援型の脅威アクター UAT-4356 が、高度なカスタム・バックドアを展開している。これらは、Cisco の Firepower eXtensible Operating System (FXOS) に影響する N-Day 脆弱性である。


これらの不備を突く攻撃者は、すでに修正済みだが未パッチである環境において、ゼロデイを必要とせずに不正アクセスを獲得した。

このグループは、ネットワーク境界デバイスを標的とし、2024年初頭に発覚した国家支援型スパイ活動 ArcaneDoor と関連している。

侵入後の UAT-4356 は、FIRESTARTER と呼ばれるカスタム・インプラントを展開した。その内容は、2026年04月23日に Cisco Talos が公開した脅威アドバイザリで報告されている。

このバックドアは、Cisco ASA/FTD デバイスのコア・コンポーネントである LINA プロセスに悪意のシェルコードを直接注入し、侵害したデバイス上でのリモートコード実行を可能とする。

FIRESTARTER は、LINA メモリ内における正規の WebVPN XML ハンドラ関数を、悪意の Stage 2 シェルコード・ハンドラへ置換することで動作する。

それにより、一連のデバイスが特定の “magic bytes” (合言葉) を含む細工された WebVPN リクエストを受信すると、埋め込まれたシェルコードがメモリ上で実行される。

“magic bytes” を含まない、通常トラフィックは元のハンドラへ渡されるため、運用中のバックドア検知は難しくなる。

RayInitiator の Stage 3 シェルコードと FIRESTARTER の間には、技術的に多くの共通点があるとセキュリティ研究者は指摘しており、高度な脅威アクター間でツールや開発資源が共有されている可能性を示唆している。

永続化メカニズム

UAT-4356 は巧妙な永続化の機構を設計している。Cisco の CSP_MOUNT_LIST を操作し、デバイス起動時に実行されるコマンドを制御することで、再起動後もバックドアを維持する。

デバイス再起動時、FIRESTARTER は自身を “/opt/cisco/platform/logs/var/log/svc_samcore.log” にコピーし、”/usr/bin/lina_cs” から再実行される。

重要な点として、電源断によるハード・リブートではインプラントは除去される。永続化は正常な再起動にのみ残存する。

検知ポイント

管理者は、以下の兆候を確認すべきである:

  • “/usr/bin/lina_cs” または “/opt/cisco/platform/logs/var/log/svc_samcore.log” に存在する不審なファイル。
  • show kernel process | include lina_cs 実行結果。
  • ClamAV シグネチャ Unix.Malware.Generic-10059965-0
  • Snort ルール 62949/65340/46897
対策

Cisco が強く推奨するのは、公式セキュリティ・アドバイザリに記載される、最新ソフトウェア・バージョンへのアップグレードである。

感染デバイスは、再イメージ化によりクリーンにできる。非ロックダウンの FTD システムでは、”lina_cs” プロセスを停止して、デバイスを再ロードすることで対応可能である。

CISA の Emergency Directive ED 25-03 にも、連邦およびエンタープライズ環境向けの追加の緩和策ガイダンスが記載されている。

訳者後書:この深刻な事態の原因は、Cisco Firepower デバイスの基本ソフト (FXOS) に残存する、未対応の脆弱性 CVE-2025-20333/CVE-2025-20362 が放置されていたことにあります。攻撃者は、これらの N-Day 脆弱性を突くことで侵入し、デバイスを制御するためのカスタム・バックドア FIRESTARTER を設置しています。このバックドアは、通信を処理する LINA プロセスの正常な機能を、攻撃者専用の入り口へと巧妙に書き換えてしまいます。”magic bytes” が含まれた通信が届いた時だけ、悪意の命令を実行するため、普段の動作からは異常が非常に見えにくい状況となります。ご利用のチームは、ご注意ください。よろしければ、Cisco Firepower での検索結果を、ご参照ください。