Ponuda s popustom na više licenci
Baza prijetnji Stražnja vrata Stražnja vrata FIREPATER-a

Stražnja vrata FIREPATER-a

Do Mezo. Stražnja vrata, Napredna trajna prijetnja (APT). godine
Prevedi na:

Analitičari kibernetičke sigurnosti otkrili su da je neimenovana savezna civilna agencija u rujnu 2025. pretrpjela kompromitaciju koja je uključivala Cisco Firepower uređaj na kojem je pokrenut softver Adaptive Security Appliance (ASA). Istražitelji su identificirali prethodno nedokumentirani soj zlonamjernog softvera pod nazivom FIRESTARTER, dizajniran za pružanje tajnog udaljenog pristupa i dugoročne kontrole nad pogođenim sustavima.

Vjeruje se da je upad dio šire kampanje koju provodi napredna skupina za perzistentne prijetnje (APT) ciljajući Cisco ASA firmver iskorištavanjem poznatih ranjivosti koje su kasnije ispravljene.

Početni upad putem visokorizičnih Cisco ranjivosti

Navodno su akteri prijetnji iskoristili dva ozbiljna sigurnosna propusta tvrtke Cisco kako bi dobili pristup izloženim uređajima:

  • CVE-2025-20333 (CVSS 9.9): Nepravilna validacija unosa koja omogućuje autentificiranom udaljenom napadaču s valjanim VPN vjerodajnicama izvršavanje proizvoljnog koda kao root putem izrađenih HTTP zahtjeva.
  • CVE-2025-20362 (CVSS 6.5): Nepravilna validacija unosa koja omogućuje neautentificiranom udaljenom napadaču pristup ograničenim krajnjim točkama URL-ova pomoću izrađenih HTTP zahtjeva.

Iako su dostupne zakrpe, sustavi koji su probijeni prije sanacije mogu ostati kompromitirani.

FIRESTARTER omogućuje trajan pristup nakon zakrpe

FIRESTARTER je poznat po svojoj sposobnosti preživljavanja nadogradnji firmvera i standardnih ponovnih pokretanja. Zlonamjerni softver se ugrađuje u proces pokretanja mijenjajući redoslijed montiranja uređaja, omogućujući automatsku ponovnu aktivaciju kad god se uređaj normalno ponovno pokrene.

Samo ponovno uključivanje/isključivanje može privremeno prekinuti implantat. Standardne naredbe za gašenje, ponovno pokretanje ili ponovno pokretanje ne uklanjaju ga. Istraživači su također primijetili sličnosti između FIRESTARTER-a i ranijeg bootkita poznatog kao RayInitiator.

Duboka manipulacija sustavom putem LINA hookinga

Istražitelji su otkrili da FIRESTARTER pokušava ugraditi hook unutar LINA-e, glavnog mehanizma odgovornog za obradu i sigurnosne operacije Cisco ASA mreže. Ova manipulacija omogućuje napadačima presretanje normalnih funkcionalnosti i izvršavanje proizvoljnog shellcodea isporučenog putem posebno izrađenih zahtjeva za autentifikaciju WebVPN-a koji sadrže takozvani 'magični paket'.

Ovaj mehanizam omogućuje nastavak zlonamjernih aktivnosti čak i nakon što su ranjivosti ispravljene.

LINE VIPER Toolkit proširuje mogućnosti napadača

Tijekom istog incidenta, operateri su implementirali post-eksploatacijski okvir pod nazivom LINE VIPER, koji je značajno proširio kontrolu nad kompromitovanim okruženjem. Uočeno je da alat izvodi sljedeće radnje:

  • Izvršavanje CLI naredbi
  • Hvatanje mrežnog prometa
  • Zaobilaženje VPN autentifikacije, autorizacije i računovodstva (AAA) za uređaje kojima upravljaju napadači
  • Potiskivanje upozorenja sysloga
  • Prikupljanje aktivnosti administratorskog CLI-ja
  • Prisilno odgođeno ponovno pokretanje sustava

Povećane privilegije koje pruža LINE VIPER navodno su utrle put implementaciji FIRESTARTER-a prije 25. rujna 2025. Napadači su se mogli vratiti na uređaj još prošlog mjeseca.

Poveznice sa širim špijunskim operacijama

Istraživači koji prate iskorištavanje pod oznakom UAT4356, poznatom i kao Storm-1849, povezali su aktivnost s ranijim kampanjama. Prethodne procjene iz svibnja 2024. sugerirale su moguće veze s Kinom.

Ovaj klaster je ranije bio povezan s ArcaneDoorom, kampanjom koja je iskoristila dvije Ciscove zero-day ranjivosti za implementaciju prilagođenog zlonamjernog softvera koji se koristi za izviđanje i presretanje mrežnog prometa.

Kritične mjere sanacije za pogođene organizacije

Sigurnosni stručnjaci toplo preporučuju da se svako potvrđeno kompromitiranje koje uključuje platforme Cisco Secure ASA ili Firepower Threat Defense (FTD) tretira kao potpuno neuspjeh povjerenja. Postojeće konfiguracije uređaja treba smatrati nepouzdanim.

Kako bi u potpunosti iskorijenile FIRESTARTER, organizacije bi trebale ponovno izraditi slikovne slike pogođenih uređaja i nadograditi ih na Ciscove fiksne verzije softvera. Dok se ponovno izradi slikovne slike, preporučuje se hladno ponovno pokretanje fizičkim isključivanjem i ponovnim uključivanjem napajanja uređaja, jer softverske naredbe za ponovno pokretanje neće ukloniti trajni implantat.

U trendu

Nagledanije

Učitavam...