Rabattilbud med flere licenser
Trusseldatabase Bagdøre FIRESTARTER Bagdør

FIRESTARTER Bagdør

Med Mezo i Bagdøre, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedsanalytikere har afsløret, at en unavngiven føderal civil myndighed i september 2025 blev kompromitteret og involverede en Cisco Firepower-enhed, der kørte Adaptive Security Appliance (ASA)-software. Efterforskere identificerede en tidligere udokumenteret malware-stamme ved navn FIRESTARTER, der er designet til at give skjult fjernadgang og langsigtet kontrol over berørte systemer.

Indbruddet menes at være en del af en bredere kampagne udført af en avanceret APT-gruppe (persistent threat), der er rettet mod Cisco ASA-firmware gennem udnyttelse af kendte sårbarheder, der senere blev rettet.

Første indtrængen gennem højrisiko-Cisco-sårbarheder

Trusselsaktører udnyttede angiveligt to alvorlige Cisco-sikkerhedshuller til at få adgang til eksponerede enheder:

  • CVE-2025-20333 (CVSS 9.9): Forkert inputvalidering tillader en autentificeret fjernangriber med gyldige VPN-legitimationsoplysninger at udføre vilkårlig kode som root via udformede HTTP-anmodninger.
  • CVE-2025-20362 (CVSS 6.5): Forkert inputvalidering giver en ikke-godkendt fjernangriber adgang til begrænsede URL-slutpunkter ved hjælp af udformede HTTP-anmodninger.

Selvom der er tilgængelige programrettelser, kan systemer, der er blevet brudt før afhjælpning, forblive kompromitterede.

FIRESTARTER muliggør vedvarende adgang efter opdateringer

FIRESTARTER er kendt for sin evne til at overleve firmwareopgraderinger og standard genstarter. Malwaren integrerer sig i opstartsprocessen ved at ændre enhedens monteringssekvens, hvilket muliggør automatisk genaktivering, når apparatet genstarter normalt.

Kun en kraftig tænd/sluk-cyklus kan midlertidigt afbryde implantatet. Standardkommandoer til nedlukning, genindlæsning eller genstart fjerner det ikke. Forskere bemærkede også ligheder mellem FIRESTARTER og et tidligere bootkit kendt som RayInitiator.

Dyb systemmanipulation gennem LINA Hooking

Efterforskere fandt ud af, at FIRESTARTER forsøger at implantere en hook i LINA, kernemotoren, der er ansvarlig for Cisco ASA-netværksbehandling og sikkerhedsoperationer. Denne manipulation giver angribere mulighed for at opsnappe normal funktionalitet og udføre vilkårlig shellcode leveret via specielt udformede WebVPN-godkendelsesanmodninger, der indeholder en såkaldt 'magisk pakke'.

Denne mekanisme muliggør fortsat ondsindet aktivitet, selv efter at sårbarheder er blevet rettet.

LINE VIPER Toolkit udvider angriberkapaciteter

Under den samme hændelse implementerede operatørerne et post-exploitation framework kaldet LINE VIPER, som betydeligt udvidede kontrollen over det kompromitterede miljø. Værktøjssættet blev observeret udføre følgende handlinger:

  • Udførelse af CLI-kommandoer
  • Optagelse af netværkstrafik
  • Omgåelse af VPN-godkendelse, -autorisation og -regnskab (AAA) for angriberstyrede enheder
  • Undertrykkelse af syslog-advarsler
  • CLI-aktivitet for indsamlingsadministrator
  • Tvinger forsinket systemgenstart

De udvidede privilegier, der blev leveret af LINE VIPER, banede angiveligt vejen for implementering af FIRESTARTER før den 25. september 2025. Angribere var i stand til at vende tilbage til enheden så sent som den foregående måned.

Links til bredere spionageoperationer

Forskere, der sporer udnyttelse under betegnelsen UAT4356, også kendt som Storm-1849, forbandt aktiviteten med tidligere kampagner. Tidligere vurderinger fra maj 2024 antydede mulige forbindelser til Kina.

Denne klynge havde tidligere været forbundet med ArcaneDoor, en kampagne, der udnyttede to Cisco zero-day-sårbarheder til at implementere brugerdefineret malware, der blev brugt til rekognoscering og aflytning af netværkstrafik.

Kritiske afhjælpningsforanstaltninger for berørte organisationer

Sikkerhedseksperter anbefaler kraftigt, at enhver bekræftet kompromitering, der involverer Cisco Secure ASA- eller Firepower Threat Defense (FTD)-platforme, behandles som en fuldstændig tillidsfejl. Eksisterende enhedskonfigurationer bør betragtes som upålidelige.

For fuldstændigt at udrydde FIRESTARTER bør organisationer foretage et nyt image af berørte enheder og opgradere til Ciscos faste softwareversioner. Indtil det nye image er fuldført, anbefales en kold genstart ved fysisk at afbryde og tilslutte strømmen til apparatet igen, da softwarebaserede genstartskommandoer ikke vil fjerne det vedvarende implantat.

Trending

Mest sete

Indlæser...