Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Portes del darrere Porta del darrere FIRESTANTER

Porta del darrere FIRESTANTER

El Mezo el Portes del darrere, Amenaça persistent avançada (APT)
Traduir a:

Analistes de ciberseguretat han revelat que una agència civil federal anònima va patir un compromís el setembre de 2025 que va involucrar un dispositiu Cisco Firepower que executava el programari Adaptive Security Appliance (ASA). Els investigadors van identificar una soca de programari maliciós no documentada prèviament anomenada FIRESTARTER, dissenyada per proporcionar accés remot encobert i control a llarg termini sobre els sistemes afectats.

Es creu que la intrusió forma part d'una campanya més àmplia duta a terme per un grup d'amenaces persistents avançades (APT) que té com a objectiu el firmware de Cisco ASA mitjançant l'explotació de vulnerabilitats conegudes que posteriorment es van corregir.

Intrusió inicial a través de vulnerabilitats d’alt risc de Cisco

Segons sembla, els actors amenaçadors van aprofitar dues greus fallades de seguretat de Cisco per accedir als dispositius exposats:

  • CVE-2025-20333 (CVSS 9.9): Validació d'entrada incorrecta que permet a un atacant remot autenticat amb credencials VPN vàlides executar codi arbitrari com a root mitjançant sol·licituds HTTP manipulades.
  • CVE-2025-20362 (CVSS 6.5): Validació d'entrada incorrecta que permet a un atacant remot no autenticat accedir a punts finals d'URL restringits mitjançant sol·licituds HTTP manipulades.

Tot i que hi ha pegats disponibles, els sistemes vulnerats abans de la remediació poden seguir compromesos.

FIRESTARTER permet l’accés persistent posterior al pegat

FIRESTARTER destaca per la seva capacitat de sobreviure a actualitzacions de firmware i reinicis estàndard. El programari maliciós s'integra en el procés d'inici modificant la seqüència de muntatge del dispositiu, permetent la reactivació automàtica cada vegada que l'aparell es reinicia normalment.

Només un cicle d'engegada i alimentació pot interrompre temporalment l'implant. Les ordres estàndard d'apagada, recàrrega o reinici no l'eliminen. Els investigadors també van observar similituds entre FIRESTARTER i un kit d'arrencada anterior conegut com a RayInitiator.

Manipulació profunda del sistema mitjançant l’enganxament LINA

Els investigadors van descobrir que FIRESTARTER intenta implantar un hook dins de LINA, el motor principal responsable del processament de la xarxa i les operacions de seguretat de Cisco ASA. Aquesta manipulació permet als atacants interceptar la funcionalitat normal i executar shellcode arbitrari lliurat a través de sol·licituds d'autenticació WebVPN especialment dissenyades que contenen un anomenat "paquet màgic".

Aquest mecanisme permet que l'activitat maliciosa continuï fins i tot després que s'hagin corregit les vulnerabilitats.

El kit d’eines LINE VIPER amplia les capacitats dels atacants

Durant el mateix incident, els operadors van desplegar un marc de treball postexplotació anomenat LINE VIPER, que va ampliar significativament el control sobre l'entorn compromès. Es va observar que el conjunt d'eines realitzava les accions següents:

  • Execució d'ordres de la CLI
  • Captura del trànsit de xarxa
  • Evitant l'autenticació, l'autorització i la comptabilitat (AAA) de VPN per a dispositius controlats per atacants
  • Supressió d'alertes de syslog
  • Recollida de l'activitat de la CLI de l'administrador
  • Forçar reinicis retardats del sistema

Segons sembla, els privilegis elevats proporcionats per LINE VIPER van aplanar el camí per al desplegament de FIRESTARTER abans del 25 de setembre de 2025. Els atacants van poder tornar al dispositiu tan recentment com el mes anterior.

Enllaços a operacions d’espionatge més àmplies

Investigadors que rastregen l'explotació sota la designació UAT4356, també coneguda com a Storm-1849, van connectar l'activitat amb campanyes anteriors. Avaluacions prèvies del maig de 2024 suggerien possibles vincles amb la Xina.

Aquest clúster s'havia associat anteriorment amb ArcaneDoor, una campanya que explotava dues vulnerabilitats de dia zero de Cisco per implementar programari maliciós personalitzat utilitzat per al reconeixement i la intercepció del trànsit de xarxa.

Mesures de remediació crítiques per a les organitzacions afectades

Els professionals de la seguretat recomanen fermament que qualsevol compromís confirmat que impliqui les plataformes Cisco Secure ASA o Firepower Threat Defense (FTD) es tracti com un error de confiança total. Les configuracions de dispositius existents s'han de considerar poc fiables.

Per eradicar completament FIRESTARTER, les organitzacions haurien de tornar a crear la imatge dels dispositius afectats i actualitzar-los a les versions de programari fixes de Cisco. Fins que no es completi la reimpressió, es recomana un reinici en fred desconnectant i tornant a connectar físicament l'alimentació al dispositiu, ja que les ordres de reinici basades en programari no eliminaran l'implant persistent.

Tendència

Més vist

Carregant...