Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Tagauksed FIRESTARTER tagauks

FIRESTARTER tagauks

Aastaks Mezo aastal Tagauksed, Täiustatud püsiv oht (APT)
Tõlgi:

Küberjulgeolekuanalüütikud on avalikustanud, et nimetu föderaalne tsiviilagentuur kannatas 2025. aasta septembris ohtu, mis oli seotud Cisco Firepoweri seadmega, millel töötas Adaptive Security Appliance (ASA) tarkvara. Uurijad tuvastasid varem dokumenteerimata pahavara tüve nimega FIRESTARTER, mis on loodud pakkuma salajast kaugjuurdepääsu ja pikaajalist kontrolli mõjutatud süsteemide üle.

Arvatakse, et sissetung on osa laiemast kampaaniast, mida viib läbi täiustatud püsiva ohu (APT) rühmitus, mis on suunatud Cisco ASA püsivara vastu, kasutades ära teadaolevaid haavatavusi, mis hiljem parandati.

Esialgne sissetung kõrge riskiga Cisco haavatavuste kaudu

Väidetavalt kasutasid ohustatud isikud ohtu sattunud seadmetesse sisenemiseks ära kahte tõsist Cisco turvavea:

  • CVE-2025-20333 (CVSS 9.9): Vale sisendi valideerimine, mis võimaldab kehtivate VPN-i volitustega autentitud ründajal käivitada suvalist koodi root'ina loodud HTTP-päringute kaudu.
  • CVE-2025-20362 (CVSS 6.5): Vale sisendi valideerimine, mis võimaldab autentimata ründajal pääseda ligi piiratud URL-i lõpp-punktidele, kasutades selleks loodud HTTP-päringuid.

Kuigi parandused on saadaval, võivad enne parandamist rikutud süsteemid jääda ohustatuks.

FIRESTARTER võimaldab püsivat juurdepääsu pärast paranduse installimist

FIRESTARTER on tähelepanuväärne oma võime poolest ellu jääda püsivara uuenduste ja tavaliste taaskäivituste korral. Pahavara kinnistab end käivitusprotsessi, muutes seadme paigaldusjärjestust, võimaldades automaatset taasaktiveerimist iga kord, kui seade tavapäraselt taaskäivitub.

Implantaadi ajutiselt katkestada saab ainult järsk toitetsükkel. Tavalised väljalülitus-, taaskäivitus- või taaskäivituskäsklused seda ei eemalda. Teadlased märkasid ka sarnasusi FIRESTARTERi ja varasema käivituskomplekti RayInitiator vahel.

Sügav süsteemi manipuleerimine LINA haakimise kaudu

Uurijad avastasid, et FIRESTARTER üritab implanteerida konksu LINA-sse, mis on Cisco ASA võrgu töötlemise ja turbeoperatsioonide eest vastutav põhimootor. See manipuleerimine võimaldab ründajatel pealt kuulata tavapärast funktsionaalsust ja käivitada suvalist shellkoodi, mis edastatakse spetsiaalselt loodud WebVPN autentimistaotluste kaudu, mis sisaldavad nn maagilist paketti.

See mehhanism võimaldab pahatahtliku tegevuse jätkumist isegi pärast haavatavuste parandamist.

LINE VIPER tööriistakomplekt laiendab ründaja võimekust

Sama intsidendi ajal võtsid operaatorid kasutusele järeloperatsiooni raamistiku nimega LINE VIPER, mis laiendas oluliselt kontrolli ohustatud keskkonna üle. Tööriistakomplekti abil täheldati järgmiste toimingute tegemist:

  • CLI-käskude täitmine
  • Võrguliikluse jäädvustamine
  • VPN-i autentimise, autoriseerimise ja arvestuse (AAA) möödahiilimine ründaja kontrolli all olevate seadmete puhul
  • Syslogi hoiatuste summutamine
  • Administraatori CLI tegevuse kogumine
  • Süsteemi viivitatud taaskäivituste sundimine

LINE VIPERI pakutavad kõrgendatud õigused sillutasid väidetavalt teed FIRESTARTERi juurutamiseks enne 25. septembrit 2025. Ründajad said seadmesse naasta veel eelmisel kuul.

Lingid laiemate spionaažioperatsioonidega

Teadlased, kes jälgisid UAT4356 (tuntud ka kui Storm-1849) all toimuvat tegevust, seostasid seda tegevust varasemate kampaaniatega. Varasemad hinnangud alates 2024. aasta maist viitasid võimalikele seostele Hiinaga.

Seda klastrit oli varem seostatud ArcaneDooriga, kampaaniaga, mis kasutas ära kahte Cisco nullpäeva haavatavust, et juurutada kohandatud pahavara luureks ja võrguliikluse pealtkuulamiseks.

Olulised parandusmeetmed mõjutatud organisatsioonidele

Turvaspetsialistid soovitavad tungivalt, et iga kinnitatud ohtu, mis hõlmab Cisco Secure ASA või Firepower Threat Defense (FTD) platvorme, käsitletaks täieliku usalduse tõrkena. Olemasolevaid seadme konfiguratsioone tuleks pidada ebausaldusväärseteks.

FIRESTARTERi täielikuks likvideerimiseks peaksid organisatsioonid mõjutatud seadmed uuesti kuvandile looma ja Cisco parandatud tarkvaraversioonidele üle minema. Kuni kuvandi loomise lõpetamiseni on soovitatav teha külm taaskäivitus, ühendades seadme füüsiliselt lahti ja uuesti toite, kuna tarkvarapõhised taaskäivituskäsklused püsivat implantaati ei eemalda.

Trendikas

Enim vaadatud

Laadimine...