Zadní vrátka FIRESTARTER
Analytici kybernetické bezpečnosti odhalili, že nejmenovaná federální civilní agentura v září 2025 utrpěla kompromitaci týkající se zařízení Cisco Firepower s operačním systémem Adaptive Security Appliance (ASA). Vyšetřovatelé identifikovali dříve nezdokumentovaný kmen malwaru s názvem FIRESTARTER, který byl navržen tak, aby poskytoval skrytý vzdálený přístup a dlouhodobou kontrolu nad postiženými systémy.
Předpokládá se, že průnik je součástí širší kampaně vedené skupinou pokročilých perzistentních hrozeb (APT), která cílí na firmware Cisco ASA zneužívá známé zranitelnosti, jež byly později opraveny.
Obsah
Počáteční narušení prostřednictvím vysoce rizikových zranitelností Cisco
Útočníci údajně využili dvě závažné bezpečnostní chyby společnosti Cisco k získání přístupu k ohroženým zařízením:
- CVE-2025-20333 (CVSS 9.9): Nesprávné ověření vstupu, které umožňuje ověřenému vzdálenému útočníkovi s platnými přihlašovacími údaji VPN spustit libovolný kód jako root prostřednictvím vytvořených HTTP požadavků.
- CVE-2025-20362 (CVSS 6.5): Nesprávné ověření vstupu umožňující neověřenému vzdálenému útočníkovi přístup k omezeným koncovým bodům URL pomocí vytvořených HTTP požadavků.
Přestože jsou k dispozici záplaty, systémy narušené před nápravou mohou zůstat ohrožené.
FIRESTARTER umožňuje trvalý přístup po instalaci záplaty
FIRESTARTER je pozoruhodný svou schopností přežít aktualizace firmwaru a standardní restarty. Malware se vkládá do procesu spouštění modifikací sekvence připojení zařízení, což umožňuje automatickou reaktivaci při každém normálním restartu zařízení.
Pouze plné vypnutí a opětovné načtení může implantát dočasně přerušit. Standardní příkazy pro vypnutí, opětovné načtení nebo restart jej neodstraní. Výzkumníci také zaznamenali podobnosti mezi FIRESTARTER a starším bootkitem známým jako RayInitiator.
Hluboká manipulace se systémem pomocí LINA hookingu
Vyšetřovatelé zjistili, že se FIRESTARTER pokouší implantovat hook do LINA, základního enginu zodpovědného za síťové zpracování a bezpečnostní operace Cisco ASA. Tato manipulace umožňuje útočníkům zachytit běžné funkce a spustit libovolný shellcode doručovaný prostřednictvím speciálně vytvořených autentizačních požadavků WebVPN obsahujících tzv. „magický paket“.
Tento mechanismus umožňuje pokračování škodlivé aktivity i po opravě zranitelností.
Sada nástrojů LINE VIPER rozšiřuje možnosti útočníků
Během stejného incidentu operátoři nasadili post-exploitační framework s názvem LINE VIPER, který výrazně rozšířil kontrolu nad kompromitovaným prostředím. Bylo pozorováno, že sada nástrojů provádí následující akce:
- Spouštění příkazů CLI
- Zachycení síťového provozu
- Obcházení ověřování, autorizace a účtování VPN (AAA) pro zařízení ovládaná útočníkem
- Potlačení výstrah syslogu
- Sběr aktivity CLI administrátora
- Vynucení odloženého restartu systému
Zvýšená oprávnění poskytovaná technologií LINE VIPER údajně vydláždila cestu pro nasazení technologie FIRESTARTER před 25. zářím 2025. Útočníci se k zařízení mohli vrátit ještě v předchozím měsíci.
Odkazy na širší špionážní operace
Výzkumníci sledující zneužívání pod označením UAT4356, známým také jako Storm-1849, spojili tuto aktivitu s dřívějšími kampaněmi. Předchozí hodnocení z května 2024 naznačovala možné vazby na Čínu.
Tento klastr byl dříve spojován s ArcaneDoor, kampaní, která zneužívala dvě zranitelnosti Cisco typu zero-day k nasazení vlastního malwaru používaného k průzkumu a zachycení síťového provozu.
Kritická nápravná opatření pro postižené organizace
Bezpečnostní odborníci důrazně doporučují, aby jakékoli potvrzené narušení bezpečnosti týkající se platforem Cisco Secure ASA nebo Firepower Threat Defense (FTD) bylo považováno za selhání plné důvěryhodnosti. Stávající konfigurace zařízení by měly být považovány za nespolehlivé.
Aby organizace mohly vir FIRESTARTER zcela odstranit, měly by znovu vytvořit image postižených zařízení a upgradovat na opravné verze softwaru Cisco. Dokud není reimaging dokončen, doporučuje se provést studený restart fyzickým odpojením a opětovným připojením napájení zařízení, protože softwarové příkazy pro restart neodstraní trvalý implantát.
