សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង ទ្វារក្រោយ FIRESTARTER Backdoor

FIRESTARTER Backdoor

ដោយ Mezo ក្នុង ទ្វារក្រោយ, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT)
បកប្រែទៅ៖

អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានបង្ហាញថា ទីភ្នាក់ងារស៊ីវិលសហព័ន្ធមួយដែលមិនបញ្ចេញឈ្មោះបានរងការសម្របសម្រួលមួយនៅក្នុងខែកញ្ញា ឆ្នាំ២០២៥ ដែលពាក់ព័ន្ធនឹងឧបករណ៍ Cisco Firepower ដែលដំណើរការកម្មវិធី Adaptive Security Appliance (ASA)។ អ្នកស៊ើបអង្កេតបានកំណត់អត្តសញ្ញាណមេរោគមួយប្រភេទដែលមិនមានឯកសារពីមុនដែលមានឈ្មោះថា FIRESTARTER ដែលត្រូវបានរចនាឡើងដើម្បីផ្តល់ការចូលប្រើពីចម្ងាយដោយសម្ងាត់ និងការគ្រប់គ្រងរយៈពេលវែងលើប្រព័ន្ធដែលរងផលប៉ះពាល់។

ការឈ្លានពាននេះត្រូវបានគេជឿថាជាផ្នែកមួយនៃយុទ្ធនាការទូលំទូលាយមួយដែលធ្វើឡើងដោយក្រុមគំរាមកំហែងកម្រិតខ្ពស់ (APT) ដែលកំណត់គោលដៅលើកម្មវិធីបង្កប់ Cisco ASA តាមរយៈការកេងប្រវ័ញ្ចចំណុចខ្សោយដែលគេស្គាល់ ដែលក្រោយមកត្រូវបានជួសជុល។

ការឈ្លានពានដំបូងតាមរយៈភាពងាយរងគ្រោះ Cisco ដែលមានហានិភ័យខ្ពស់

ភ្នាក់ងារគំរាមកំហែងត្រូវបានគេរាយការណ៍ថាបានទាញយកអត្ថប្រយោជន៍ពីចំណុចខ្វះខាតសុវត្ថិភាព Cisco ធ្ងន់ធ្ងរពីរដើម្បីចូលទៅក្នុងឧបករណ៍ដែលបង្ហាញឱ្យឃើញ៖

  • CVE-2025-20333 (CVSS 9.9): ការផ្ទៀងផ្ទាត់ការបញ្ចូលមិនត្រឹមត្រូវអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយដែលមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមួយនឹងព័ត៌មានសម្ងាត់ VPN ដែលមានសុពលភាពប្រតិបត្តិកូដដោយបំពានជា root តាមរយៈសំណើ HTTP ដែលបានបង្កើត។
  • CVE-2025-20362 (CVSS 6.5): ការផ្ទៀងផ្ទាត់ការបញ្ចូលមិនត្រឹមត្រូវដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវចូលប្រើចំណុចបញ្ចប់ URL ដែលមានការរឹតបន្តឹងដោយប្រើសំណើ HTTP ដែលបង្កើតឡើង។

ទោះបីជាមានបំណះជួសជុលក៏ដោយ ប្រព័ន្ធដែលត្រូវបានរំលោភបំពានមុនពេលជួសជុលអាចនៅតែរងការគំរាមកំហែង។

FIRESTARTER អនុញ្ញាតឱ្យមានការចូលប្រើក្រោយការបំណះជាប់លាប់

FIRESTARTER មានភាពល្បីល្បាញដោយសារសមត្ថភាពរបស់វាក្នុងការរស់រានមានជីវិតពីការធ្វើឱ្យប្រសើរឡើងនូវកម្មវិធីបង្កប់ និងការចាប់ផ្តើមឡើងវិញតាមស្តង់ដារ។ មេរោគនេះបង្កប់ខ្លួនវាទៅក្នុងដំណើរការចាប់ផ្តើមដោយកែប្រែលំដាប់ម៉ោនរបស់ឧបករណ៍ ដែលអនុញ្ញាតឱ្យមានការធ្វើឱ្យសកម្មឡើងវិញដោយស្វ័យប្រវត្តិនៅពេលណាដែលឧបករណ៍ចាប់ផ្តើមឡើងវិញជាធម្មតា។

មានតែវដ្តថាមពលរឹងប៉ុណ្ណោះដែលអាចរំខានដល់ការផ្សាំជាបណ្តោះអាសន្ន។ ពាក្យបញ្ជាបិទ ផ្ទុកឡើងវិញ ឬចាប់ផ្ដើមឡើងវិញស្តង់ដារមិនលុបវាចេញទេ។ អ្នកស្រាវជ្រាវក៏បានកត់សម្គាល់ពីភាពស្រដៀងគ្នារវាង FIRESTARTER និងឧបករណ៍ចាប់ផ្ដើមប្រព័ន្ធមុនដែលគេស្គាល់ថា RayInitiator។

ការរៀបចំប្រព័ន្ធស៊ីជម្រៅតាមរយៈ LINA Hooking

ក្រុមអ្នកស៊ើបអង្កេតបានរកឃើញថា FIRESTARTER ព្យាយាមដាក់ទំពក់មួយនៅខាងក្នុង LINA ដែលជាម៉ាស៊ីនស្នូលដែលទទួលខុសត្រូវចំពោះប្រតិបត្តិការដំណើរការបណ្តាញ និងសុវត្ថិភាព Cisco ASA។ ការរៀបចំនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារស្ទាក់ចាប់មុខងារធម្មតា និងប្រតិបត្តិលេខកូដសែលតាមអំពើចិត្តដែលបានបញ្ជូនតាមរយៈសំណើផ្ទៀងផ្ទាត់ WebVPN ដែលបង្កើតឡើងជាពិសេស ដែលមានអ្វីដែលគេហៅថា 'កញ្ចប់វេទមន្ត'។

យន្តការនេះអនុញ្ញាតឱ្យមានសកម្មភាពព្យាបាទជាបន្តបន្ទាប់ សូម្បីតែបន្ទាប់ពីចំណុចខ្សោយត្រូវបានជួសជុលក៏ដោយ។

LINE VIPER Toolkit ពង្រីកសមត្ថភាពអ្នកវាយប្រហារ

ក្នុងអំឡុងពេលនៃឧប្បត្តិហេតុដូចគ្នា ប្រតិបត្តិករបានដាក់ពង្រាយក្របខ័ណ្ឌក្រោយការកេងប្រវ័ញ្ចមួយហៅថា LINE VIPER ដែលបានពង្រីកការគ្រប់គ្រងយ៉ាងខ្លាំងលើបរិស្ថានដែលរងការសម្របសម្រួល។ ឧបករណ៍នេះត្រូវបានគេសង្កេតឃើញកំពុងអនុវត្តសកម្មភាពដូចខាងក្រោម៖

  • ការប្រតិបត្តិពាក្យបញ្ជា CLI
  • កំពុងចាប់យកចរាចរណ៍បណ្តាញ
  • ការរំលងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ការអនុញ្ញាត និងគណនេយ្យ (AAA) របស់ VPN សម្រាប់ឧបករណ៍ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ
  • ការទប់ស្កាត់ការជូនដំណឹងអំពី syslog
  • សកម្មភាព CLI របស់អ្នកគ្រប់គ្រងកំពុងប្រមូលផល
  • ការបង្ខំឱ្យមានការចាប់ផ្ដើមប្រព័ន្ធឡើងវិញដែលពន្យារពេល

សិទ្ធិពិសេសដែលផ្តល់ដោយ LINE VIPER ត្រូវបានគេរាយការណ៍ថាបានបើកផ្លូវសម្រាប់ការដាក់ពង្រាយ FIRESTARTER មុនថ្ងៃទី 25 ខែកញ្ញា ឆ្នាំ 2025។ អ្នកវាយប្រហារអាចត្រឡប់ទៅឧបករណ៍វិញបានភ្លាមៗដូចខែមុន។

តំណភ្ជាប់ទៅកាន់ប្រតិបត្តិការចារកម្មទូលំទូលាយ

ក្រុមអ្នកស្រាវជ្រាវដែលតាមដានការកេងប្រវ័ញ្ចក្រោមឈ្មោះ UAT4356 ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Storm-1849 បានភ្ជាប់សកម្មភាពនេះទៅនឹងយុទ្ធនាការមុនៗ។ ការវាយតម្លៃពីមុនចាប់ពីខែឧសភា ឆ្នាំ២០២៤ បានបង្ហាញពីទំនាក់ទំនងដែលអាចកើតមានទៅកាន់ប្រទេសចិន។

ចង្កោមនេះពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយ ArcaneDoor ដែលជាយុទ្ធនាការមួយដែលបានកេងប្រវ័ញ្ចភាពងាយរងគ្រោះ Cisco zero-day ចំនួនពីរដើម្បីដាក់ពង្រាយមេរោគផ្ទាល់ខ្លួនដែលប្រើសម្រាប់ការឈ្លបយកការណ៍ និងការស្ទាក់ចាប់ចរាចរណ៍បណ្តាញ។

វិធានការ​ដោះស្រាយ​សំខាន់ៗ​សម្រាប់​អង្គការ​ដែល​រង​ផល​ប៉ះពាល់

អ្នកជំនាញសន្តិសុខណែនាំយ៉ាងមុតមាំថា ការសម្របសម្រួលណាមួយដែលបានបញ្ជាក់ដែលពាក់ព័ន្ធនឹងវេទិកា Cisco Secure ASA ឬ Firepower Threat Defense (FTD) គួរតែត្រូវបានចាត់ទុកថាជាការបរាជ័យក្នុងការជឿទុកចិត្តទាំងស្រុង។ ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលមានស្រាប់គួរតែត្រូវបានចាត់ទុកថាមិនគួរឱ្យទុកចិត្ត។

ដើម្បីលុបបំបាត់ FIRESTARTER ទាំងស្រុង អង្គការនានាគួរតែកំណត់រូបភាពឡើងវិញនូវឧបករណ៍ដែលរងផលប៉ះពាល់ និងធ្វើឱ្យប្រសើរឡើងទៅការចេញផ្សាយកម្មវិធីដែលបានជួសជុលរបស់ Cisco។ រហូតដល់ការកំណត់រូបភាពឡើងវិញត្រូវបានបញ្ចប់ ការចាប់ផ្តើមឡើងវិញដោយត្រជាក់ត្រូវបានណែនាំដោយការផ្តាច់ និងភ្ជាប់ថាមពលឡើងវិញទៅឧបករណ៍ ព្រោះពាក្យបញ្ជាចាប់ផ្តើមឡើងវិញដែលមានមូលដ្ឋានលើកម្មវិធីនឹងមិនលុបការផ្សាំដែលនៅសេសសល់នោះទេ។

និន្នាការ

គេហទំព័ររង្វាន់ Spotify ក្លែងក្លាយ

គេហទំព័រក្លែងក្លាយ
គេហទំព័រ 'កម្មវិធីរង្វាន់ Spotify' ក្លែងក្លាយកំពុងរីករាលដាលយ៉ាងឆាប់រហ័សតាមរយៈការផ្សាយពាណិជ្ជកម្មតាមអ៊ីនធឺណិត ការបង្ហោះប្រព័ន្ធផ្សព្វផ្សាយសង្គម និងការបញ្ជូនបន្តការលេចឡើងយ៉ាងសកម្ម។...

ការបោកប្រាស់អ៊ីមែល PayPal PDF

គេហទំព័រក្លែងក្លាយ, ការបន្លំ
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តកែលម្អយុទ្ធសាស្ត្ររបស់ពួកគេ ដែលធ្វើឱ្យយុទ្ធនាការបន្លំបន្លំកាន់តែពិបាករកឃើញ។ ការគំរាមកំហែងបោកប្រាស់មួយជាពិសេសគឺការបោកប្រាស់អ៊ីមែល PDF របស់ PayPal...

មើលច្រើនបំផុត

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
21,209
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...

Eporner.com

បញ្ហា
20,594
អ៊ីនធឺណិត​ជា​កន្លែង​ដ៏​ធំ​មួយ​ដែល​ពោរពេញ​ទៅ​ដោយ​មាតិកា​ដែល​មាន​ប្រយោជន៍ ការ​កម្សាន្ត និង​ព័ត៌មាន ប៉ុន្តែ​វា​ក៏​មាន​ជ្រុង​ងងឹត​ដែរ។ មិនថាអ្នកកំពុងចាក់ផ្សាយកម្មវិធី ទាញយកកម្មវិធី...
កំពុង​ផ្ទុក...