Preventivo sconto multi-licenza
Database delle minacce Porte sul retro Porta sul retro di Firestarter

Porta sul retro di Firestarter

Entro Mezo nel Porte sul retro, Minaccia persistente avanzata (APT)
Traduci in:

Gli analisti di sicurezza informatica hanno rivelato che un'agenzia federale civile, di cui non è stato rivelato il nome, ha subito una violazione dei dati nel settembre 2025, che ha coinvolto un dispositivo Cisco Firepower con software Adaptive Security Appliance (ASA). Gli investigatori hanno identificato una variante di malware precedentemente sconosciuta, denominata FIRESTARTER, progettata per fornire accesso remoto occulto e controllo a lungo termine sui sistemi interessati.

Si ritiene che l'intrusione faccia parte di una campagna più ampia condotta da un gruppo di minacce persistenti avanzate (APT) che prende di mira il firmware dei dispositivi Cisco ASA sfruttando vulnerabilità note che sono state successivamente corrette.

Intrusione iniziale tramite vulnerabilità Cisco ad alto rischio

Secondo quanto riferito, gli autori della minaccia hanno sfruttato due gravi falle di sicurezza di Cisco per accedere ai dispositivi esposti:

  • CVE-2025-20333 (CVSS 9.9): Validazione impropria dell'input che consente a un utente malintenzionato remoto autenticato con credenziali VPN valide di eseguire codice arbitrario come root tramite richieste HTTP appositamente create.
  • CVE-2025-20362 (CVSS 6.5): Validazione impropria dell'input che consente a un utente malintenzionato remoto non autenticato di accedere a endpoint URL con restrizioni utilizzando richieste HTTP appositamente create.

Sebbene siano disponibili delle patch, i sistemi compromessi prima dell'intervento di ripristino potrebbero rimanere tali.

FIRESTARTER abilita l’accesso persistente dopo l’aggiornamento

FIRESTARTER si distingue per la sua capacità di sopravvivere agli aggiornamenti del firmware e ai riavvii standard. Il malware si insinua nel processo di avvio modificando la sequenza di montaggio del dispositivo, consentendo la riattivazione automatica ogni volta che l'appliance si riavvia normalmente.

Solo un ciclo di accensione e spegnimento forzato può interrompere temporaneamente l'impianto. I comandi standard di spegnimento, ricaricamento o riavvio non lo rimuovono. I ricercatori hanno anche notato somiglianze tra FIRESTARTER e un precedente bootkit noto come RayInitiator.

Manipolazione profonda del sistema tramite LINA Hooking

Gli investigatori hanno scoperto che FIRESTARTER tenta di inserire un hook all'interno di LINA, il motore principale responsabile dell'elaborazione della rete e delle operazioni di sicurezza dei dispositivi Cisco ASA. Questa manipolazione consente agli aggressori di intercettare le normali funzionalità ed eseguire shellcode arbitrario veicolato tramite richieste di autenticazione WebVPN appositamente create e contenenti un cosiddetto "pacchetto magico".

Questo meccanismo consente la prosecuzione delle attività dannose anche dopo la correzione delle vulnerabilità.

Il toolkit LINE VIPER amplia le capacità degli attaccanti

Durante lo stesso incidente, gli operatori hanno implementato un framework di post-sfruttamento chiamato LINE VIPER, che ha ampliato significativamente il controllo sull'ambiente compromesso. È stato osservato che il toolkit eseguiva le seguenti azioni:

  • Esecuzione di comandi CLI
  • Acquisizione del traffico di rete
  • Aggirare l'autenticazione, l'autorizzazione e la contabilizzazione (AAA) delle VPN per i dispositivi controllati dagli aggressori.
  • Soppressione degli avvisi di syslog
  • Raccolta dell'attività CLI dell'amministratore
  • Forzare il riavvio ritardato del sistema

Secondo quanto riportato, i privilegi elevati forniti da LINE VIPER avrebbero spianato la strada all'implementazione di FIRESTARTER prima del 25 settembre 2025. Gli aggressori sono riusciti ad accedere nuovamente al dispositivo anche il mese precedente.

Collegamenti a operazioni di spionaggio più ampie

I ricercatori che monitorano lo sfruttamento con la denominazione UAT4356, nota anche come Storm-1849, hanno collegato l'attività a campagne precedenti. Valutazioni precedenti, risalenti a maggio 2024, avevano suggerito possibili collegamenti con la Cina.

Questo cluster era stato precedentemente associato ad ArcaneDoor, una campagna che sfruttava due vulnerabilità zero-day di Cisco per diffondere malware personalizzato utilizzato per la ricognizione e l'intercettazione del traffico di rete.

Misure di risanamento essenziali per le organizzazioni colpite

Gli esperti di sicurezza raccomandano vivamente di considerare qualsiasi compromissione confermata che coinvolga le piattaforme Cisco Secure ASA o Firepower Threat Defense (FTD) come una completa violazione della fiducia. Le configurazioni dei dispositivi esistenti devono essere considerate inaffidabili.

Per eliminare completamente FIRESTARTER, le organizzazioni dovrebbero reinstallare il sistema operativo sui dispositivi interessati e aggiornarli alle versioni corrette del software Cisco. Fino al completamento della reinstallazione, si consiglia un riavvio a freddo scollegando e ricollegando fisicamente l'alimentazione all'appliance, poiché i comandi di riavvio basati su software non rimuovono il malware persistente.

Tendenza

I più visti

Caricamento in corso...