FIRESTARTER बैकडोर

साइबर सुरक्षा विश्लेषकों ने खुलासा किया है कि सितंबर 2025 में एक अज्ञात संघीय नागरिक एजेंसी को सिस्को फायरपावर डिवाइस से जुड़े एक हमले का सामना करना पड़ा, जिसमें एडेप्टिव सिक्योरिटी अप्लायंस (एएसए) सॉफ्टवेयर चल रहा था। जांचकर्ताओं ने फायरस्टार्टर नामक एक अज्ञात मैलवेयर स्ट्रेन की पहचान की, जिसे प्रभावित सिस्टमों पर गुप्त रूप से दूरस्थ पहुंच और दीर्घकालिक नियंत्रण प्रदान करने के लिए डिज़ाइन किया गया था।

माना जा रहा है कि यह घुसपैठ एक व्यापक अभियान का हिस्सा है जिसे एक एडवांस्ड पर्सिस्टेंट थ्रेट (एपीटी) समूह द्वारा चलाया गया था, जो बाद में पैच किए गए ज्ञात कमजोरियों का फायदा उठाकर सिस्को एएसए फर्मवेयर को निशाना बना रहा था।

सिस्को की उच्च जोखिम वाली कमजोरियों के माध्यम से प्रारंभिक घुसपैठ

रिपोर्ट के अनुसार, हमलावरों ने असुरक्षित उपकरणों में प्रवेश पाने के लिए सिस्को की दो गंभीर सुरक्षा खामियों का फायदा उठाया:

• CVE-2025-20333 (CVSS 9.9): गलत इनपुट सत्यापन के कारण वैध वीपीएन क्रेडेंशियल वाले प्रमाणित रिमोट हमलावर को तैयार किए गए HTTP अनुरोधों के माध्यम से रूट के रूप में मनमाना कोड निष्पादित करने की अनुमति मिलती है।
• CVE-2025-20362 (CVSS 6.5): अनुचित इनपुट सत्यापन के कारण एक अनधिकृत रिमोट हमलावर तैयार किए गए HTTP अनुरोधों का उपयोग करके प्रतिबंधित URL एंडपॉइंट तक पहुंच सकता है।

हालांकि पैच उपलब्ध हैं, लेकिन सुधार से पहले प्रभावित सिस्टम असुरक्षित रह सकते हैं।

FIRESTARTER पैच के बाद भी स्थायी एक्सेस को सक्षम बनाता है

FIRESTARTER अपनी फर्मवेयर अपग्रेड और सामान्य रीबूट से बचने की क्षमता के लिए उल्लेखनीय है। यह मैलवेयर डिवाइस के माउंट अनुक्रम को संशोधित करके स्टार्टअप प्रक्रिया में खुद को शामिल कर लेता है, जिससे डिवाइस के सामान्य रूप से रीबूट होने पर यह स्वचालित रूप से पुनः सक्रिय हो जाता है।

केवल हार्ड पावर साइकल ही इस इम्प्लांट को अस्थायी रूप से बाधित कर सकता है। स्टैंडर्ड शटडाउन, रीलोड या रीबूट कमांड इसे नहीं हटाते हैं। शोधकर्ताओं ने FIRESTARTER और RayInitiator नामक एक पुराने बूटकिट के बीच समानताएं भी देखीं।

LINA हुकिंग के माध्यम से डीप सिस्टम मैनिपुलेशन

जांचकर्ताओं ने पाया कि FIRESTARTER, Cisco ASA नेटवर्क प्रोसेसिंग और सुरक्षा संचालन के लिए जिम्मेदार कोर इंजन LINA में एक हुक डालने का प्रयास करता है। इस हेरफेर से हमलावर सामान्य कार्यप्रणाली को बाधित कर सकते हैं और विशेष रूप से तैयार किए गए WebVPN प्रमाणीकरण अनुरोधों के माध्यम से मनमाना शेलकोड निष्पादित कर सकते हैं, जिसमें तथाकथित 'मैजिक पैकेट' होता है।

यह तंत्र खामियों को ठीक कर दिए जाने के बाद भी दुर्भावनापूर्ण गतिविधियों को जारी रखने में सक्षम बनाता है।

LINE VIPER टूलकिट हमलावरों की क्षमताओं का विस्तार करता है

इसी घटना के दौरान, ऑपरेटरों ने LINE VIPER नामक एक पोस्ट-एक्सप्लॉयटेशन फ्रेमवर्क तैनात किया, जिसने प्रभावित वातावरण पर नियंत्रण को काफी हद तक बढ़ा दिया। इस टूलकिट को निम्नलिखित क्रियाएं करते हुए देखा गया:

• CLI कमांड्स को निष्पादित करना
• नेटवर्क ट्रैफ़िक कैप्चर करना
• हमलावर-नियंत्रित उपकरणों के लिए वीपीएन प्रमाणीकरण, प्राधिकरण और लेखांकन (एएए) को दरकिनार करना
• सिस्लॉग अलर्ट को दबाना
• हार्वेस्टिंग एडमिनिस्ट्रेटर सीएलआई गतिविधि
• विलंबित सिस्टम रीबूट को बाध्य करना

रिपोर्ट के अनुसार, LINE VIPER द्वारा प्रदान किए गए उच्च विशेषाधिकारों ने 25 सितंबर, 2025 से पहले FIRESTARTER की तैनाती का मार्ग प्रशस्त किया। हमलावर पिछले महीने तक डिवाइस पर वापस आने में सक्षम थे।

व्यापक जासूसी अभियानों के लिंक

यूएटी4356 (जिसे स्टॉर्म-1849 के नाम से भी जाना जाता है) के तहत हो रहे शोषण पर नज़र रखने वाले शोधकर्ताओं ने इस गतिविधि को पहले के अभियानों से जोड़ा है। मई 2024 के पिछले आकलन में चीन से संभावित संबंधों का संकेत दिया गया था।

यह क्लस्टर पहले आर्केनडोर नामक एक अभियान से जुड़ा हुआ था, जिसने जासूसी और नेटवर्क ट्रैफिक अवरोधन के लिए इस्तेमाल किए जाने वाले कस्टम मैलवेयर को तैनात करने के लिए सिस्को की दो जीरो-डे कमजोरियों का फायदा उठाया था।

प्रभावित संगठनों के लिए महत्वपूर्ण निवारण उपाय

सुरक्षा विशेषज्ञ दृढ़तापूर्वक सलाह देते हैं कि सिस्को सिक्योर एएसए या फायरपावर थ्रेट डिफेंस (एफटीडी) प्लेटफॉर्म से संबंधित किसी भी पुष्ट सुरक्षा उल्लंघन को पूर्ण विश्वास विफलता माना जाना चाहिए। मौजूदा डिवाइस कॉन्फ़िगरेशन को अविश्वसनीय माना जाना चाहिए।

FIRESTARTER को पूरी तरह से खत्म करने के लिए, संगठनों को प्रभावित उपकरणों को रीइमेज करना चाहिए और सिस्को के फिक्स्ड सॉफ्टवेयर रिलीज़ में अपग्रेड करना चाहिए। रीइमेज पूरा होने तक, उपकरण की पावर को फिजिकली डिस्कनेक्ट और रिकनेक्ट करके कोल्ड रीस्टार्ट करने की सलाह दी जाती है, क्योंकि सॉफ्टवेयर-आधारित रीबूट कमांड से यह समस्या दूर नहीं होगी।