FIREBURKER hátsó ajtó

Kiberbiztonsági elemzők felfedték, hogy egy meg nem nevezett szövetségi civil ügynökség 2025 szeptemberében egy Adaptive Security Appliance (ASA) szoftvert futtató Cisco Firepower eszközzel kapcsolatos biztonsági támadás áldozata lett. A nyomozók azonosítottak egy korábban nem dokumentált, FIRESTARTER nevű rosszindulatú programtörzset, amelyet titkos távoli hozzáférés és az érintett rendszerek feletti hosszú távú ellenőrzés biztosítására terveztek.

A behatolás vélhetően egy szélesebb körű kampány része, amelyet egy fejlett perzisztens fenyegetéseket (APT) elkövető csoport folytatott, és a Cisco ASA firmware-t vette célba ismert, később javított sebezhetőségek kihasználásával.

Kezdeti behatolás a nagy kockázatú Cisco sebezhetőségeken keresztül

A fenyegetések szereplői állítólag két súlyos Cisco biztonsági rést használtak ki, hogy bejussanak a veszélyeztetett eszközökbe:

• CVE-2025-20333 (CVSS 9.9): Nem megfelelő bemeneti ellenőrzés, amely lehetővé teszi egy hitelesített távoli támadó számára érvényes VPN-hitelesítési adatokkal, hogy tetszőleges kódot futtasson root felhasználóként létrehozott HTTP-kéréseken keresztül.
• CVE-2025-20362 (CVSS 6.5): Nem megfelelő bemeneti ellenőrzés, amely lehetővé teszi egy nem hitelesített távoli támadó számára, hogy korlátozott URL-végpontokhoz férjen hozzá létrehozott HTTP-kérések használatával.

Bár elérhetők javítások, a javítás előtt feltört rendszerek továbbra is veszélyeztetettek maradhatnak.

A FIRESTARTER lehetővé teszi a folyamatos hozzáférést a javítás után

A FIRESTARTER figyelemre méltó arról, hogy képes túlélni a firmware-frissítéseket és a szabványos újraindításokat. A rosszindulatú program beágyazódik az indítási folyamatba azáltal, hogy módosítja az eszköz csatlakoztatási sorrendjét, lehetővé téve az automatikus újraaktiválást, valahányszor a készülék normál újraindítást végez.

Csak egy kemény ki- és bekapcsolással lehet ideiglenesen megszakítani az implantátum működését. A szokásos leállítási, újraindítási vagy újraindítási parancsok nem távolítják el azt. A kutatók hasonlóságokat is megfigyeltek a FIRESTARTER és egy korábbi, RayInitiator néven ismert rendszerindító készlet között.

Mély rendszermanipuláció LINA-bekötéssel

A nyomozók megállapították, hogy a FIRESTARTER egy hook beültetését kísérli meg a LINA-ba, a Cisco ASA hálózati feldolgozásért és biztonsági műveletekért felelős központi motorba. Ez a manipuláció lehetővé teszi a támadók számára, hogy elfogják a normál funkciókat, és tetszőleges shellkódot futtassanak, amelyet speciálisan létrehozott WebVPN hitelesítési kéréseken keresztül küldenek, amelyek egy úgynevezett „mágikus csomagot” tartalmaznak.

Ez a mechanizmus lehetővé teszi a rosszindulatú tevékenységek folytatását még a sebezhetőségek javítása után is.

A LINE VIPER Toolkit kibővíti a támadó képességeit

Ugyanezen incidens során az operátorok egy LINE VIPER nevű utólagos kihasználási keretrendszert telepítettek, amely jelentősen kibővítette a feltört környezet feletti ellenőrzést. Az eszközkészlet a következő műveleteket hajtotta végre:

• CLI parancsok végrehajtása
• Hálózati forgalom rögzítése
• VPN-hitelesítés, -engedélyezés és -elszámolás (AAA) megkerülése támadó által ellenőrzött eszközökön
• Syslog-riasztások letiltása
• Adminisztrátori CLI-tevékenység begyűjtése
• Késleltetett rendszer-újraindítások kényszerítése

A LINE VIPER által biztosított emelt szintű jogosultságok állítólag utat nyitottak a FIRESTARTER 2025. szeptember 25. előtti telepítéséhez. A támadók még az előző hónapban is visszatérhettek az eszközhöz.

Kapcsolatok a szélesebb körű kémkedési műveletekkel

Az UAT4356, más néven Storm-1849 jelzésű kitermelést nyomon követő kutatók korábbi kampányokhoz kötötték a tevékenységet. A 2024 májusától kezdődő korábbi értékelések Kínához fűződő lehetséges kapcsolatokat sugalltak.

Ez a klaszter korábban az ArcaneDoorhoz kapcsolódott, egy kampányhoz, amely két Cisco nulladik napi sebezhetőséget kihasználva egyedi rosszindulatú programokat telepített felderítésre és hálózati forgalom lehallgatására.

Kritikus korrekciós intézkedések az érintett szervezetek számára

A biztonsági szakemberek határozottan azt javasolják, hogy a Cisco Secure ASA vagy Firepower Threat Defense (FTD) platformokat érintő, megerősített kompromittálásokat teljes megbízhatósági hibaként kezeljék. A meglévő eszközkonfigurációkat megbízhatatlannak kell tekinteni.

A FIRESTARTER teljes kiirtása érdekében a szervezeteknek újra kell telepíteniük az érintett eszközöket, és frissíteniük kell a Cisco javított szoftverkiadásaira. Amíg az újratelepítés nem fejeződik be, hidegindítás ajánlott a készülék áramellátásának fizikai leválasztásával és újracsatlakoztatásával, mivel a szoftveres újraindítási parancsok nem távolítják el a tartósan beültetett területet.