Monen lisenssin alennustarjous
Uhatietokanta Takaovet FIRESTARTER Takaovi

FIRESTARTER Takaovi

Vuonna Mezo vuonna Takaovet, Advanced Persistent Threat (APT)
Käännä:

Kyberturvallisuusanalyytikot ovat paljastaneet, että nimeämätön liittovaltion siviilivirasto joutui syyskuussa 2025 tietomurron uhriksi, joka koski Cisco Firepower -laitetta, jossa oli Adaptive Security Appliance (ASA) -ohjelmisto. Tutkijat tunnistivat aiemmin dokumentoimattoman FIRESTARTER-nimisen haittaohjelmakannan, joka on suunniteltu tarjoamaan salaista etäkäyttöä ja pitkäaikaista hallintaa tartunnan saaneissa järjestelmissä.

Tunkeutumisen uskotaan olevan osa laajempaa kampanjaa, jota edistyneiden jatkuvien uhkien (APT) ryhmä toteuttaa ja joka kohdistaa hyökkäyksensä Cisco ASA -laiteohjelmistoon hyödyntämällä tunnettuja ja myöhemmin korjattuja haavoittuvuuksia.

Alkuperäinen tunkeutuminen Ciscon riskialttiiden haavoittuvuuksien kautta

Uhkatoimijoiden kerrotaan hyödyntäneen kahta vakavaa Ciscon tietoturva-aukkoa päästäkseen alttiisiin laitteisiin:

  • CVE-2025-20333 (CVSS 9.9): Virheellinen syötteen validointi, jonka avulla todennettu etähyökkääjä, jolla on voimassa olevat VPN-tunnukset, voi suorittaa mielivaltaista koodia pääkäyttäjänä muokattujen HTTP-pyyntöjen kautta.
  • CVE-2025-20362 (CVSS 6.5): Virheellinen syötteen validointi, jonka ansiosta todentamaton etähyökkääjä voi käyttää rajoitettuja URL-päätepisteitä muokattujen HTTP-pyyntöjen avulla.

Vaikka korjauksia on saatavilla, ennen korjaavia toimia murretut järjestelmät voivat pysyä vaarassa.

FIRESTARTER mahdollistaa pysyvän pääsyn korjauspäivityksen jälkeen

FIRESTARTER on tunnettu kyvystään selvitä laiteohjelmistopäivityksistä ja tavallisista uudelleenkäynnistyksistä. Haittaohjelma upottautuu käynnistysprosessiin muokkaamalla laitteen asennusjärjestystä, mikä mahdollistaa automaattisen uudelleenaktivoinnin aina, kun laite käynnistyy uudelleen normaalisti.

Vain pakotettu virrankatkaisu voi keskeyttää implantin toiminnan tilapäisesti. Tavalliset sammutus-, uudelleenkäynnistys- tai uudelleenkäynnistyskomennot eivät poista sitä. Tutkijat havaitsivat myös yhtäläisyyksiä FIRESTARTERin ja aiemman RayInitiator-nimisen käynnistyspaketin välillä.

Syvä järjestelmän manipulointi LINA-koukutuksen avulla

Tutkijat havaitsivat, että FIRESTARTER yrittää asentaa koukun LINAan, Cisco ASA -verkon prosessoinnista ja tietoturvatoiminnoista vastaavaan ydinmoottoriin. Tämä manipulointi antaa hyökkääjille mahdollisuuden siepata normaalia toiminnallisuutta ja suorittaa mielivaltaista komentokoodia, joka toimitetaan erityisesti muotoiltujen WebVPN-todennuspyyntöjen kautta, jotka sisältävät niin sanotun "taikapaketin".

Tämä mekanismi mahdollistaa haitallisen toiminnan jatkumisen jopa haavoittuvuuksien korjaamisen jälkeen.

LINE VIPER Toolkit laajentaa hyökkääjän ominaisuuksia

Saman tapauksen aikana operaattorit ottivat käyttöön LINE VIPER -nimisen hyväksikäytön jälkeisen kehyksen, joka laajensi merkittävästi vaarantuneen ympäristön hallintaa. Työkalupakin havaittiin suorittavan seuraavat toimenpiteet:

  • CLI-komentojen suorittaminen
  • Verkkoliikenteen kaappaaminen
  • VPN-todennuksen, valtuutuksen ja kirjanpidon (AAA) ohittaminen hyökkääjän hallitsemissa laitteissa
  • Syslog-hälytysten estäminen
  • Järjestelmänvalvojan komentorivitoimintojen kerääminen
  • Viivästettyjen järjestelmän uudelleenkäynnistysten pakottaminen

LINE VIPERin tarjoamat korotetut käyttöoikeudet mahdollistivat tietä FIRESTARTERin käyttöönotolle ennen 25. syyskuuta 2025. Hyökkääjät pystyivät palaamaan laitteeseen vielä edellisenä kuukautena.

Yhteydet laajempiin vakoiluoperaatioihin

Tutkijat, jotka seurasivat UAT4356-nimisen eli Storm-1849-nimisen hyönteismyrkkykohteen hyödyntämistä, yhdistivät toiminnan aikaisempiin kampanjoihin. Aiemmat, toukokuussa 2024 tehdyt arvioinnit viittasivat mahdollisiin yhteyksiin Kiinaan.

Tämä klusteri oli aiemmin yhdistetty ArcaneDooriin, kampanjaan, joka hyödynsi kahta Ciscon nollapäivähaavoittuvuutta ottaakseen käyttöön mukautettuja haittaohjelmia tiedustelua ja verkkoliikenteen sieppausta varten.

Kriittiset korjaavat toimenpiteet asianomaisille organisaatioille

Tietoturva-ammattilaiset suosittelevat vahvasti, että kaikkia vahvistettuja Cisco Secure ASA- tai Firepower Threat Defense (FTD) -alustoihin liittyviä tietomurtoja käsitellään täydellisen luotettavuuskatkoksena. Olemassa olevia laitekokoonpanoja tulisi pitää epäluotettavina.

FIRESTARTER-ongelman täydelliseksi poistamiseksi organisaatioiden tulisi asentaa uudelleen laitteiden levykuva ja päivittää ne Ciscon kiinteisiin ohjelmistoversioihin. Ennen levykuvan asentamista suositellaan kylmäkäynnistystä irrottamalla ja kytkemällä fyysisesti virta laitteeseen, koska ohjelmistopohjaiset uudelleenkäynnistyskomennot eivät poista pysyvää asennusta.

Trendaavat

Eniten katsottu

Ladataan...