Vairāku licenču atlaides piedāvājums
Draudu datu bāze Aizmugures durvis FIRESTARTER aizmugurējās durvis

FIRESTARTER aizmugurējās durvis

Līdz Mezo. gadam Aizmugures durvis, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Kiberdrošības analītiķi ir atklājuši, ka 2025. gada septembrī tika apdraudēta nenosaukta federālā civilā aģentūra, kas bija saistīta ar Cisco Firepower ierīci, kurā darbojas Adaptive Security Appliance (ASA) programmatūra. Izmeklētāji identificēja iepriekš nedokumentētu ļaunprogrammatūras paveidu ar nosaukumu FIRESTARTER, kas paredzēts, lai nodrošinātu slepenu attālo piekļuvi un ilgtermiņa kontroli pār skartajām sistēmām.

Tiek uzskatīts, ka ielaušanās ir daļa no plašākas kampaņas, ko veic uzlabota pastāvīgu draudu (APT) grupa, kuras mērķis ir Cisco ASA programmaparatūra, izmantojot zināmas ievainojamības, kas vēlāk tika labotas.

Sākotnējā ielaušanās, izmantojot augsta riska Cisco ievainojamības

Tiek ziņots, ka apdraudējumu izraisītāji izmantoja divus nopietnus Cisco drošības trūkumus, lai iekļūtu neaizsargātās ierīcēs:

  • CVE-2025-20333 (CVSS 9.9): Nepareiza ievades validācija, kas ļauj autentificētam attālajam uzbrucējam ar derīgiem VPN akreditācijas datiem izpildīt patvaļīgu kodu kā root, izmantojot izstrādātus HTTP pieprasījumus.
  • CVE-2025-20362 (CVSS 6.5): Nepareiza ievades validācija, kas ļauj neautentificētam attālajam uzbrucējam piekļūt ierobežotiem URL galapunktiem, izmantojot izstrādātus HTTP pieprasījumus.

Lai gan ir pieejami ielāpi, sistēmas, kurās pārkāpumi ir veikti pirms labošanas, var palikt apdraudētas.

FIRESTARTER nodrošina pastāvīgu piekļuvi pēc ielāpa instalēšanas

FIRESTARTER ir ievērojams ar spēju pārciest programmaparatūras jauninājumus un standarta pārstartēšanu. Ļaunprogrammatūra iestrādājas startēšanas procesā, mainot ierīces pieslēgšanas secību, ļaujot automātiski atkārtoti aktivizēt ierīci ikreiz, kad tā tiek normāli pārstartēta.

Implanta darbību var īslaicīgi pārtraukt tikai stingra ieslēgšanas/izslēgšanas cikls. Standarta izslēgšanas, atkārtotas ielādes vai atsāknēšanas komandas to neatceļ. Pētnieki arī novēroja līdzības starp FIRESTARTER un agrāku sāknēšanas komplektu, kas pazīstams kā RayInitiator.

Dziļa sistēmas manipulācija, izmantojot LINA pieslēgšanu

Izmeklētāji atklāja, ka FIRESTARTER mēģina implantēt āķi LINA — galvenajā dzinējā, kas atbild par Cisco ASA tīkla apstrādi un drošības darbībām. Šī manipulācija ļauj uzbrucējiem pārtvert normālu funkcionalitāti un izpildīt patvaļīgu apvalka kodu, kas tiek piegādāts, izmantojot speciāli izstrādātus WebVPN autentifikācijas pieprasījumus, kas satur tā saukto “maģisko paketi”.

Šis mehānisms ļauj turpināt ļaunprātīgu darbību pat pēc ievainojamību novēršanas.

LINE VIPER rīkkopa paplašina uzbrucēju iespējas

Tā paša incidenta laikā operatori ieviesa pēcekspluatācijas sistēmu LINE VIPER, kas ievērojami paplašināja kontroli pār apdraudēto vidi. Rīkkopa tika novērota, veicot šādas darbības:

  • CLI komandu izpilde
  • Tīkla datplūsmas uztveršana
  • VPN autentifikācijas, autorizācijas un uzskaites (AAA) apiešana uzbrucēju kontrolētās ierīcēs
  • Syslog brīdinājumu nomākšana
  • Administratora CLI darbību apkopošana
  • Piespiedu sistēmas atkārtota palaišana

Tiek ziņots, ka LINE VIPER nodrošinātās paaugstinātās privilēģijas pavēra ceļu FIRESTARTER ieviešanai pirms 2025. gada 25. septembra. Uzbrucēji varēja atgriezties ierīcē vēl iepriekšējā mēnesī.

Saiknes ar plašākām spiegošanas operācijām

Pētnieki, kas izsekoja ekspluatāciju ar apzīmējumu UAT4356, kas pazīstams arī kā Storm-1849, saistīja šo aktivitāti ar agrākām kampaņām. Iepriekšējie novērtējumi, kas veikti no 2024. gada maija, liecināja par iespējamu saistību ar Ķīnu.

Šis klasteris iepriekš bija saistīts ar ArcaneDoor — kampaņu, kas izmantoja divas Cisco nulles dienas ievainojamības, lai izvietotu pielāgotu ļaunprogrammatūru, kas paredzēta izlūkošanai un tīkla datplūsmas pārtveršanai.

Kritiski koriģējoši pasākumi skartajām organizācijām

Drošības speciālisti stingri iesaka jebkuru apstiprinātu kompromitēšanu, kas saistīta ar Cisco Secure ASA vai Firepower Threat Defense (FTD) platformām, uzskatīt par pilnīgas uzticamības kļūmi. Esošās ierīču konfigurācijas jāuzskata par neuzticamām.

Lai pilnībā izskaustu FIRESTARTER, organizācijām ir jāatjauno skarto ierīču attēli un jāveic jaunināšana uz Cisco fiksētajām programmatūras versijām. Līdz attēlu atjaunošanas pabeigšanai ieteicams veikt aukstu restartēšanu, fiziski atvienojot un atkārtoti pievienojot ierīces barošanu, jo programmatūras pārstartēšanas komandas nenoņems pastāvīgo implantu.

Tendences

Visvairāk skatīts

Notiek ielāde...