הצעת הנחה מרובה רישיונות
מסד נתונים של איומים דלתות אחוריות דלת אחורית של FIRESTARTER

דלת אחורית של FIRESTARTER

עד Mezo ב-דלתות אחוריות, איום מתמשך מתקדם (APT)
לתרגם ל:

אנליסטים בתחום אבטחת הסייבר חשפו כי סוכנות אזרחית פדרלית אנונימית נפגעה בספטמבר 2025, כאשר התקן Cisco Firepower, שבו פועל תוכנת Adaptive Security Appliance (ASA), הוצג כפריצה. חוקרים זיהו זן של תוכנה זדונית בשם FIRESTARTER, אשר לא תועד בעבר, ונועד לספק גישה מרחוק חשאית ושליטה ארוכת טווח על המערכות שנפגעו.

ההערכה היא שהחדירה היא חלק מקמפיין רחב יותר שנוהל על ידי קבוצת איומים מתמשכים מתקדמים (APT) שמטרתה לפגוע בקושחת Cisco ASA באמצעות ניצול פגיעויות ידועות שתוקנו מאוחר יותר.

חדירה ראשונית דרך פגיעויות בסיכון גבוה של סיסקו

על פי הדיווחים, גורמי איום ניצלו שתי פרצות אבטחה חמורות של סיסקו כדי לחדור למכשירים חשופים:

  • CVE-2025-20333 (CVSS 9.9): אימות קלט שגוי המאפשר לתוקף מרוחק מאומת עם אישורי VPN תקפים לבצע קוד שרירותי כ-root באמצעות בקשות HTTP שנוצרו.
  • CVE-2025-20362 (CVSS 6.5): אימות קלט שגוי המאפשר לתוקף מרוחק לא מאומת גישה לנקודות קצה מוגבלות של URL באמצעות בקשות HTTP שנוצרו.

למרות שקיימים תיקונים, מערכות שנפרצו לפני התיקון עלולות להישאר פגועות.

FIRESTARTER מאפשר גישה מתמדת לאחר תיקון

FIRESTARTER בולט ביכולתו לשרוד שדרוגי קושחה ואתחול מחדש סטנדרטי. הנוזקה מטמיעה את עצמה בתהליך האתחול על ידי שינוי רצף ההרכבה של המכשיר, מה שמאפשר הפעלה מחדש אוטומטית בכל פעם שהמכשיר מופעל מחדש כרגיל.

רק הפעלה מחדש חזקה יכולה להפסיק את השתל באופן זמני. פקודות כיבוי, טעינה מחדש או אתחול מחדש סטנדרטיות אינן מסירות אותו. החוקרים ציינו גם קווי דמיון בין FIRESTARTER לערכת אתחול קודמת המכונה RayInitiator.

מניפולציה עמוקה של המערכת באמצעות LINA Hooking

חוקרים גילו ש-FIRESTARTER מנסה להשתיל hook בתוך LINA, מנוע הליבה האחראי על עיבוד רשת Cisco ASA ופעולות אבטחה. מניפולציה זו מאפשרת לתוקפים ליירט פונקציונליות רגילה ולבצע shellcode שרירותי המועבר באמצעות בקשות אימות WebVPN מעוצבות במיוחד המכילות מה שנקרא "חבילה קסומה".

מנגנון זה מאפשר המשך פעילות זדונית גם לאחר תיקון פגיעויות.

ערכת הכלים של LINE VIPER מרחיבה את יכולות התוקף

במהלך אותו אירוע, מפעילים פרסו מערכת הפעלה לאחר ניצול התקיפה בשם LINE VIPER, אשר הרחיבה משמעותית את השליטה על הסביבה הפגועה. ערכת הכלים נצפתה מבצעת את הפעולות הבאות:

  • ביצוע פקודות CLI
  • לכידת תעבורת רשת
  • עקיפת אימות, הרשאה וחשבונאות VPN (AAA) עבור מכשירים הנשלטים על ידי תוקפים
  • דיכוי התראות syslog
  • פעילות ממשק שורת פקודה (CLI) של מנהל האיסוף
  • כפיית אתחול מחדש של המערכת בהשהיה

על פי הדיווחים, ההרשאות המוגברות שסופקו על ידי LINE VIPER סללו את הדרך לפריסת FIRESTARTER לפני 25 בספטמבר 2025. תוקפים הצליחו לחזור למכשיר רק בחודש הקודם.

קישורים לפעולות ריגול רחבות יותר

חוקרים שעוקבים אחר ניצול תחת הכינוי UAT4356, המכונה גם Storm-1849, קישרו את הפעילות לקמפיינים קודמים. הערכות קודמות ממאי 2024 הציעו קשרים אפשריים לסין.

אשכול זה נקשר קודם לכן ל-ArcaneDoor, קמפיין שניצל שתי פגיעויות של סיסקו מסוג zero-day כדי לפרוס תוכנות זדוניות מותאמות אישית המשמשות לסיור ויירוט תעבורת רשת.

אמצעי תיקון קריטיים עבור ארגונים שנפגעו

אנשי מקצוע בתחום האבטחה ממליצים בחום להתייחס לכל פגיעה מאומתת הקשורה לפלטפורמות Cisco Secure ASA או Firepower Threat Defense (FTD) כאל כשל אמון מלא. יש להתייחס לתצורות המכשיר הקיימות כלא אמינות.

כדי למגר לחלוטין את תופעת FIRESTARTER, ארגונים צריכים לבצע תמונה מחדש של המכשירים שנפגעו ולשדרג לגרסאות התוכנה הקבועות של סיסקו. עד להשלמת ההדמיה מחדש, מומלץ לבצע הפעלה מחדש קרה על ידי ניתוק פיזי וחיבור מחדש של החשמל למכשיר, מכיוון שפקודות אתחול מחדש מבוססות תוכנה לא יסירו את השתל הקבוע.

מגמות

הכי נצפה

טוען...