Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Užpakalinės durys „FIRESTARTER“ galinės durys

„FIRESTARTER“ galinės durys

Autorius Mezo, Užpakalinės durys, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Kibernetinio saugumo analitikai atskleidė, kad 2025 m. rugsėjį neįvardyta federalinė civilinė agentūra nukentėjo nuo įsilaužimo, susijusio su „Cisco Firepower“ įrenginiu, kuriame veikia „Adaptive Security Appliance“ (ASA) programinė įranga. Tyrėjai nustatė anksčiau nedokumentuotą kenkėjiškos programos atmainą, vadinamą FIRESTARTER, skirtą slaptai nuotolinei prieigai ir ilgalaikei paveiktų sistemų kontrolei užtikrinti.

Manoma, kad įsilaužimas yra platesnės kampanijos, kurią vykdo pažangi nuolatinių grėsmių (APT) grupė, nukreipta prieš „Cisco ASA“ programinę-aparatinę įrangą, išnaudojant žinomas pažeidžiamumus, kurie vėliau buvo pataisyti, dalis.

Pradinis įsilaužimas per didelės rizikos „Cisco“ pažeidžiamumus

Pranešama, kad grėsmių kūrėjai pasinaudojo dviem rimtais „Cisco“ saugumo trūkumais, kad patektų į pažeidžiamus įrenginius:

  • CVE-2025-20333 (CVSS 9.9): Netinkamas įvesties patvirtinimas, leidžiantis autentifikuotam nuotoliniam užpuolikui, turinčiam galiojančius VPN prisijungimo duomenis, vykdyti savavališką kodą kaip root naudodamas sukurtas HTTP užklausas.
  • CVE-2025-20362 (CVSS 6.5): Netinkamas įvesties patvirtinimas, leidžiantis neautentifikuotam nuotoliniam užpuolikui pasiekti apribotus URL galinius taškus naudojant sukurtas HTTP užklausas.

Nors pataisymai yra prieinami, sistemos, pažeistos iki ištaisymo, gali likti pažeidžiamos.

„FIRESTARTER“ suteikia nuolatinę prieigą po pataisų įdiegimo

„FIRESTARTER“ pasižymi gebėjimu atlaikyti programinės įrangos atnaujinimus ir standartinį perkrovimą. Kenkėjiška programa įsitvirtina paleidimo procese, pakeisdama įrenginio prijungimo seką, leisdama automatiškai iš naujo suaktyvinti įrenginį, kai jis normaliai perkraunamas.

Implantą laikinai nutraukti gali tik griežtas išjungimo ir jungimo įjungimas. Standartinės išjungimo, perkrovimo ar perkrovimo komandos jo nepašalina. Tyrėjai taip pat pastebėjo panašumų tarp FIRESTARTER ir ankstesnio įkrovos rinkinio, žinomo kaip RayInitiator.

Gilus sistemos manipuliavimas naudojant LINA prijungimą

Tyrėjai nustatė, kad FIRESTARTER bando įdiegti kabliuką į LINA, pagrindinį variklį, atsakingą už „Cisco ASA“ tinklo apdorojimą ir saugumo operacijas. Šis manipuliavimas leidžia užpuolikams perimti įprastas funkcijas ir vykdyti savavališką apvalkalo kodą, siunčiamą per specialiai sukurtas „WebVPN“ autentifikavimo užklausas, kuriose yra vadinamasis „magiškasis paketas“.

Šis mechanizmas leidžia tęsti kenkėjišką veiklą net ir po to, kai pažeidžiamumai yra ištaisyti.

„LINE VIPER Toolkit“ išplečia užpuolikų galimybes

To paties incidento metu operatoriai įdiegė poeksploatavimo sistemą, vadinamą LINE VIPER, kuri žymiai išplėtė pažeistos aplinkos kontrolę. Įrankių rinkinys atliko šiuos veiksmus:

  • CLI komandų vykdymas
  • Tinklo srauto fiksavimas
  • VPN autentifikavimo, autorizacijos ir apskaitos (AAA) apėjimas užpuoliko kontroliuojamuose įrenginiuose
  • Sistemos žurnalo įspėjimų slopinimas
  • Administratoriaus CLI veiklos rinkimas
  • Priverstinis atidėtas sistemos paleidimas iš naujo

Pranešama, kad „LINE VIPER“ suteiktos padidintos privilegijos atvėrė kelią „FIRESTARTER“ diegimui iki 2025 m. rugsėjo 25 d. Užpuolikai galėjo grįžti prie įrenginio dar praėjusį mėnesį.

Ryšiai su platesnėmis šnipinėjimo operacijomis

Tyrėjai, stebėję eksploatavimą pagal UAT4356 žymėjimą, dar žinomą kaip Storm-1849, susiejo šią veiklą su ankstesnėmis kampanijomis. Ankstesni, 2024 m. gegužės mėn. atlikti vertinimai rodė galimus ryšius su Kinija.

Šis klasteris anksčiau buvo siejamas su „ArcaneDoor“ – kampanija, kuri išnaudojo dvi „Cisco“ nulinės dienos pažeidžiamumus, kad būtų galima diegti pritaikytą kenkėjišką programinę įrangą žvalgybai ir tinklo srauto perėmimui.

Svarbios taisomosios priemonės paveiktoms organizacijoms

Saugumo specialistai primygtinai rekomenduoja bet kokį patvirtintą pažeidimą, susijusį su „Cisco Secure ASA“ arba „Firepower Threat Defense“ (FTD) platformomis, laikyti visiško pasitikėjimo pažeidimu. Esamos įrenginių konfigūracijos turėtų būti laikomos nepatikimomis.

Norėdamos visiškai pašalinti FIRESTARTER, organizacijos turėtų iš naujo įdiegti paveiktų įrenginių atvaizdus ir atnaujinti programinę įrangą į pataisytas „Cisco“ versijas. Kol atvaizdų atkūrimas nebus baigtas, rekomenduojama paleisti įrenginį iš naujo, fiziškai atjungiant ir vėl prijungiant maitinimą, nes programinės įrangos pagrindu vykdomos paleidimo iš naujo komandos nepašalins nuolatinio implanto.

Tendencijos

Labiausiai žiūrima

Įkeliama...