Оферта за отстъпка за множество лицензи
База данни за заплахи Задни врати Задна вратичка FIRESTARTER

Задна вратичка FIRESTARTER

До Mezo през Задни врати, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Анализатори по киберсигурност разкриха, че неназована федерална гражданска агенция е претърпяла компрометиране през септември 2025 г., включващо устройство Cisco Firepower, работещо със софтуера Adaptive Security Appliance (ASA). Разследващите са идентифицирали недокументиран досега щам на зловреден софтуер, наречен FIRESTARTER, предназначен да осигурява скрит отдалечен достъп и дългосрочен контрол над засегнатите системи.

Смята се, че проникването е част от по-широка кампания, провеждана от група за напреднали постоянни заплахи (APT), насочена към фърмуера на Cisco ASA чрез експлоатация на известни уязвимости, които по-късно са били отстранени.

Първоначално проникване чрез високорискови уязвимости на Cisco

Съобщава се, че злонамерени лица са използвали два сериозни пропуска в сигурността на Cisco, за да получат достъп до откритите устройства:

  • CVE-2025-20333 (CVSS 9.9): Неправилна проверка на входните данни, позволяваща на удостоверен отдалечен атакуващ с валидни VPN идентификационни данни да изпълнява произволен код като root чрез изработени HTTP заявки.
  • CVE-2025-20362 (CVSS 6.5): Неправилна проверка на входните данни, позволяваща на неудостоверен отдалечен атакуващ да осъществява достъп до ограничени URL крайни точки, използвайки изработени HTTP заявки.

Въпреки че са налични корекции, системите, чиято сигурност е била повредена преди отстраняването им, може да останат компрометирани.

FIRESTARTER позволява постоянен достъп след корекция

FIRESTARTER е забележителен със способността си да оцелява след актуализации на фърмуера и стандартни рестартирания. Зловредният софтуер се вгражда в процеса на стартиране, като променя последователността на монтиране на устройството, позволявайки автоматично повторно активиране всеки път, когато устройството се рестартира нормално.

Само пълно включване и изключване може временно да прекъсне импланта. Стандартните команди за изключване, презареждане или рестартиране не го премахват. Изследователите също така отбелязват прилики между FIRESTARTER и по-ранен буткит, известен като RayInitiator.

Дълбока системна манипулация чрез LINA hooking

Разследващите установиха, че FIRESTARTER се опитва да имплантира кука (hook) в LINA, основния енджин, отговорен за мрежовата обработка и операциите по сигурност на Cisco ASA. Тази манипулация позволява на атакуващите да прехващат нормалната функционалност и да изпълняват произволен шелкод, доставен чрез специално създадени заявки за удостоверяване на WebVPN, съдържащи така наречения „магически пакет“.

Този механизъм позволява продължаване на злонамерена дейност дори след отстраняване на уязвимости.

LINE VIPER Toolkit разширява възможностите на атакуващите

По време на същия инцидент, операторите внедриха пост-експлоатационна рамка, наречена LINE VIPER, която значително разшири контрола върху компрометираната среда. Наблюдавано е, че инструментариумът извършва следните действия:

  • Изпълнение на CLI команди
  • Заснемане на мрежов трафик
  • Заобикаляне на VPN удостоверяване, оторизация и отчитане (AAA) за устройства, контролирани от нападател
  • Потискане на предупрежденията в системния лог
  • Събиране на активност от командния ред на администратора
  • Принудително забавено рестартиране на системата

Съобщава се, че повишените привилегии, предоставени от LINE VIPER, са проправили пътя за внедряването на FIRESTARTER преди 25 септември 2025 г. Атакуващите са успели да се върнат към устройството още през предходния месец.

Връзки към по-широки шпионски операции

Изследователи, проследяващи експлоатацията под обозначението UAT4356, известна още като Storm-1849, свързаха активността с по-ранни кампании. Предишни оценки от май 2024 г. предполагаха възможни връзки с Китай.

Този клъстер по-рано е бил свързан с ArcaneDoor, кампания, която е използвала две уязвимости от типа zero-day на Cisco, за да внедри персонализиран зловреден софтуер, използван за разузнаване и прихващане на мрежов трафик.

Критични мерки за отстраняване на щети за засегнатите организации

Специалистите по сигурността силно препоръчват всяко потвърдено компрометиране, включващо платформи Cisco Secure ASA или Firepower Threat Defense (FTD), да се третира като пълно провал на доверието. Съществуващите конфигурации на устройствата трябва да се считат за ненадеждни.

За да премахнат напълно FIRESTARTER, организациите трябва да преинтегрират засегнатите устройства и да надстроят до фиксираните версии на софтуера на Cisco. Докато преинтегрирането не приключи, се препоръчва студено рестартиране чрез физическо изключване и повторно включване на захранването на устройството, тъй като софтуерните команди за рестартиране няма да премахнат постоянния имплант.

Тенденция

Зловреден софтуер SnappyClient

Зловреден софтуер, Инструменти за отдалечено администриране
SnappyClient е високотехнологичен зловреден софтуер, написан на C++ и разпространяван чрез програма за зареждане, известна като HijackLoader. Той функционира като троянски кон за отдалечен достъп...

Най-гледан

Зареждане...