Pintu Belakang FIRESTARTER

Penganalisis keselamatan siber telah mendedahkan bahawa sebuah agensi awam persekutuan yang tidak dinamakan telah mengalami kompromi pada September 2025 yang melibatkan peranti Cisco Firepower yang menjalankan perisian Adaptive Security Appliance (ASA). Penyiasat mengenal pasti strain perisian hasad yang sebelum ini tidak didokumenkan bernama FIRESTARTER, yang direka untuk menyediakan akses jauh rahsia dan kawalan jangka panjang ke atas sistem yang terjejas.

Pencerobohan itu dipercayai sebagai sebahagian daripada kempen yang lebih luas yang dijalankan oleh kumpulan ancaman berterusan termaju (APT) yang menyasarkan firmware Cisco ASA melalui eksploitasi kelemahan yang diketahui yang kemudiannya ditampal.

Pencerobohan Awal Melalui Kerentanan Cisco Berisiko Tinggi

Pelakon ancaman dilaporkan telah memanfaatkan dua kelemahan keselamatan Cisco yang serius untuk memasuki peranti yang terdedah:

• CVE-2025-20333 (CVSS 9.9): Pengesahan input yang tidak betul membenarkan penyerang jauh yang disahkan dengan kelayakan VPN yang sah untuk melaksanakan kod sewenang-wenangnya sebagai root melalui permintaan HTTP yang dibuat.
• CVE-2025-20362 (CVSS 6.5): Pengesahan input yang tidak betul membenarkan penyerang jauh yang tidak disahkan mengakses titik akhir URL terhad menggunakan permintaan HTTP yang direka bentuk.

Walaupun tampalan tersedia, sistem yang dicerobohi sebelum pemulihan mungkin masih terjejas.

FIRESTARTER Membolehkan Akses Pasca-Tampalan Berterusan

FIRESTARTER terkenal kerana keupayaannya untuk bertahan daripada naik taraf perisian tegar dan but semula standard. Perisian hasad ini membenamkan dirinya ke dalam proses permulaan dengan mengubah suai urutan pemasangan peranti, membolehkan pengaktifan semula automatik setiap kali perkakas but semula seperti biasa.

Hanya kitaran kuasa keras sahaja yang boleh mengganggu implan buat sementara waktu. Arahan penutupan, muat semula atau but semula standard tidak dapat mengalih keluarnya. Penyelidik juga menyatakan persamaan antara FIRESTARTER dan kit but terdahulu yang dikenali sebagai RayInitiator.

Manipulasi Sistem Mendalam Melalui Pengait LINA

Penyiasat mendapati bahawa FIRESTARTER cuba menanamkan cangkuk di dalam LINA, enjin teras yang bertanggungjawab untuk pemprosesan rangkaian dan operasi keselamatan Cisco ASA. Manipulasi ini membolehkan penyerang memintas fungsi biasa dan melaksanakan kod shell sewenang-wenangnya yang dihantar melalui permintaan pengesahan WebVPN yang direka khas yang mengandungi apa yang dipanggil 'paket ajaib'.

Mekanisme ini membolehkan aktiviti berniat jahat berterusan walaupun selepas kelemahan telah ditampal.

Kit Alat LINE VIPER Memperluas Keupayaan Penyerang

Semasa kejadian yang sama, pengendali menggunakan rangka kerja pasca eksploitasi yang dipanggil LINE VIPER, yang meluaskan kawalan ke atas persekitaran yang terjejas dengan ketara. Kit alat tersebut diperhatikan melakukan tindakan berikut:

• Melaksanakan arahan CLI
• Menangkap trafik rangkaian
• Memintas Pengesahan, Kebenaran dan Perakaunan VPN (AAA) untuk peranti yang dikawal oleh penyerang
• Menyekat amaran syslog
• Aktiviti CLI pentadbir penuaian
• Memaksa but semula sistem yang tertangguh

Keistimewaan tinggi yang disediakan oleh LINE VIPER dilaporkan membuka jalan untuk penggunaan FIRESTARTER sebelum 25 September 2025. Penyerang dapat kembali ke peranti tersebut seawal bulan sebelumnya.

Pautan ke Operasi Perisikan yang Lebih Luas

Penyelidik yang menjejaki eksploitasi di bawah gelaran UAT4356, juga dikenali sebagai Storm-1849, mengaitkan aktiviti tersebut dengan kempen terdahulu. Penilaian terdahulu dari Mei 2024 mencadangkan kemungkinan kaitan dengan China.

Kelompok ini sebelum ini dikaitkan dengan ArcaneDoor, sebuah kempen yang mengeksploitasi dua kerentanan hari sifar Cisco untuk menggunakan perisian hasad tersuai yang digunakan untuk peninjauan dan pintasan trafik rangkaian.

Langkah-langkah Pemulihan Kritikal untuk Organisasi yang Terjejas

Profesional keselamatan menasihatkan agar sebarang kompromi yang disahkan yang melibatkan platform Cisco Secure ASA atau Firepower Threat Defense (FTD) dianggap sebagai kegagalan kepercayaan sepenuhnya. Konfigurasi peranti sedia ada harus dianggap tidak boleh dipercayai.

Untuk membasmi sepenuhnya FIRESTARTER, organisasi harus membuat imej semula peranti yang terjejas dan menaik taraf kepada keluaran perisian tetap Cisco. Sehingga pengimejan semula selesai, permulaan semula sejuk disyorkan dengan memutuskan sambungan dan menyambung semula kuasa ke perkakas secara fizikal, kerana arahan but semula berasaskan perisian tidak akan menanggalkan implan yang berterusan.