FIRESTARTER Backdoor
تحلیلگران امنیت سایبری فاش کردهاند که یک آژانس غیرنظامی فدرال که نامش فاش نشده است، در سپتامبر ۲۰۲۵ مورد نفوذ قرار گرفته است که شامل یک دستگاه Cisco Firepower است که نرمافزار Adaptive Security Appliance (ASA) را اجرا میکند. محققان یک گونه بدافزار که قبلاً مستند نشده بود را به نام FIRESTARTER شناسایی کردند که برای دسترسی از راه دور مخفیانه و کنترل طولانی مدت بر سیستمهای آسیبدیده طراحی شده است.
اعتقاد بر این است که این نفوذ بخشی از یک کمپین گستردهتر است که توسط یک گروه تهدید پیشرفته مداوم (APT) انجام میشود و از طریق سوءاستفاده از آسیبپذیریهای شناختهشدهای که بعداً وصله شدهاند، سیستمعامل Cisco ASA را هدف قرار میدهد.
فهرست مطالب
نفوذ اولیه از طریق آسیبپذیریهای پرخطر سیسکو
طبق گزارشها، عوامل تهدید از دو نقص امنیتی جدی سیسکو برای ورود به دستگاههای در معرض خطر استفاده کردهاند:
- CVE-2025-20333 (CVSS 9.9): اعتبارسنجی نامناسب ورودی که به یک مهاجم از راه دور احراز هویت شده با اعتبارنامههای VPN معتبر اجازه میدهد تا از طریق درخواستهای HTTP دستکاریشده، کد دلخواه را به عنوان root اجرا کند.
- CVE-2025-20362 (CVSS 6.5): اعتبارسنجی نامناسب ورودی که به یک مهاجم از راه دور احراز هویت نشده اجازه میدهد با استفاده از درخواستهای HTTP دستکاریشده به نقاط انتهایی URL محدود شده دسترسی پیدا کند.
اگرچه وصلههای امنیتی موجود هستند، سیستمهایی که قبل از رفع نقص، مورد نفوذ قرار گرفتهاند، ممکن است همچنان در معرض خطر باقی بمانند.
FIRESTARTER دسترسی مداوم پس از وصلهگذاری را فعال میکند
FIRESTARTER به دلیل تواناییاش در مقاومت در برابر ارتقاء میانافزار و راهاندازی مجدد استاندارد قابل توجه است. این بدافزار با تغییر توالی نصب دستگاه، خود را در فرآیند راهاندازی جاسازی میکند و هر زمان که دستگاه به طور عادی راهاندازی مجدد شود، امکان فعالسازی مجدد خودکار را فراهم میکند.
فقط یک چرخهی قدرت سخت میتواند موقتاً این ایمپلنت را متوقف کند. دستورات استاندارد خاموش کردن، بارگذاری مجدد یا راهاندازی مجدد، آن را حذف نمیکنند. محققان همچنین شباهتهایی بین FIRESTARTER و یک بوتکیت قدیمیتر به نام RayInitiator مشاهده کردند.
دستکاری عمیق سیستم از طریق اتصال LINA
محققان دریافتند که FIRESTARTER تلاش میکند تا یک قلاب را در داخل LINA، موتور اصلی مسئول پردازش شبکه Cisco ASA و عملیات امنیتی، جاسازی کند. این دستکاری به مهاجمان اجازه میدهد تا عملکرد عادی را مختل کرده و shellcode دلخواه را که از طریق درخواستهای احراز هویت WebVPN دستکاریشده حاوی یک «بسته جادویی» ارسال میشود، اجرا کنند.
این مکانیزم، حتی پس از رفع آسیبپذیریها، امکان ادامهی فعالیتهای مخرب را فراهم میکند.
جعبه ابزار LINE VIPER قابلیتهای مهاجم را گسترش میدهد
در طول همان حادثه، اپراتورها یک چارچوب پس از بهرهبرداری به نام LINE VIPER را مستقر کردند که کنترل بر محیط آسیبدیده را به طور قابل توجهی گسترش داد. مشاهده شد که این ابزار اقدامات زیر را انجام میدهد:
- اجرای دستورات CLI
- ضبط ترافیک شبکه
- دور زدن احراز هویت، مجوز و حسابداری VPN (AAA) برای دستگاههای تحت کنترل مهاجم
- سرکوب هشدارهای syslog
- جمعآوری فعالیتهای رابط خط فرمان مدیر
- اجبار به راهاندازی مجدد سیستم با تأخیر
طبق گزارشها، امتیازات بالای ارائه شده توسط LINE VIPER راه را برای استقرار FIRESTARTER قبل از ۲۵ سپتامبر ۲۰۲۵ هموار کرد. مهاجمان توانستند تا همین ماه قبل به دستگاه بازگردند.
پیوندهایی به عملیات جاسوسی گستردهتر
محققانی که این سوءاستفاده را تحت عنوان UAT4356، که با نام Storm-1849 نیز شناخته میشود، ردیابی کردند، این فعالیت را به کمپینهای قبلی مرتبط دانستند. ارزیابیهای قبلی از ماه مه ۲۰۲۴، پیوندهای احتمالی با چین را نشان میداد.
این خوشه پیش از این با ArcaneDoor مرتبط بود، کمپینی که از دو آسیبپذیری روز صفر سیسکو برای استقرار بدافزار سفارشی مورد استفاده برای شناسایی و رهگیری ترافیک شبکه سوءاستفاده میکرد.
اقدامات اصلاحی بحرانی برای سازمانهای آسیبدیده
متخصصان امنیت اکیداً توصیه میکنند که هرگونه نفوذ تأیید شده شامل پلتفرمهای Cisco Secure ASA یا Firepower Threat Defense (FTD) به عنوان یک شکست کامل اعتماد در نظر گرفته شود. پیکربندیهای موجود دستگاه باید غیرقابل اعتماد در نظر گرفته شوند.
برای ریشهکن کردن کامل FIRESTARTER، سازمانها باید دستگاههای آسیبدیده را مجدداً ایمیجگیری کرده و به نسخههای نرمافزاری اصلاحشده سیسکو ارتقا دهند. تا زمان تکمیل ایمیجگیری مجدد، توصیه میشود با قطع و وصل فیزیکی برق دستگاه، یک راهاندازی مجدد سرد انجام شود، زیرا دستورات راهاندازی مجدد مبتنی بر نرمافزار، ایمپلنت پایدار را حذف نمیکنند.
