Rabatttilbud for flere lisenser
Trusseldatabase Bakdører FIRESTARTER Bakdør

FIRESTARTER Bakdør

Med Mezo i Bakdører, Advanced Persistent Threat (APT)
Oversett til:

Nettsikkerhetsanalytikere har avslørt at et ikke navngitt føderalt sivilt organ ble utsatt for et sikkerhetsbrudd i september 2025, inkludert en Cisco Firepower-enhet som kjørte programvaren Adaptive Security Appliance (ASA). Etterforskerne identifiserte en tidligere udokumentert skadevarestamme kalt FIRESTARTER, som er utviklet for å gi skjult fjerntilgang og langsiktig kontroll over berørte systemer.

Innbruddet antas å være en del av en større kampanje utført av en avansert vedvarende trusselgruppe (APT) som retter seg mot Cisco ASA-fastvare gjennom utnyttelse av kjente sårbarheter som senere ble oppdatert.

Første inntrenging gjennom Cisco-sårbarheter med høy risiko

Trusselaktører skal ha utnyttet to alvorlige sikkerhetshull fra Cisco for å få tilgang til eksponerte enheter:

  • CVE-2025-20333 (CVSS 9.9): Feil validering av inndata tillater en autentisert ekstern angriper med gyldige VPN-legitimasjoner å kjøre vilkårlig kode som root via utformede HTTP-forespørsler.
  • CVE-2025-20362 (CVSS 6.5): Feil validering av inndata tillater en uautorisert ekstern angriper tilgang til begrensede URL-endepunkter ved hjelp av utformede HTTP-forespørsler.

Selv om oppdateringer er tilgjengelige, kan systemer som er brutt før utbedring forbli kompromittert.

FIRESTARTER muliggjør vedvarende tilgang etter oppdatering

FIRESTARTER er kjent for sin evne til å overleve fastvareoppgraderinger og standard omstarter. Skadevaren integreres i oppstartsprosessen ved å endre enhetens monteringssekvens, slik at den automatisk aktiveres når apparatet starter på nytt normalt.

Bare en hard av- og påslåing kan avbryte implantatet midlertidig. Standard avstengings-, påfyllings- eller omstartskommandoer fjerner det ikke. Forskere bemerket også likheter mellom FIRESTARTER og et tidligere bootkit kjent som RayInitiator.

Dyp systemmanipulasjon gjennom LINA-hekting

Etterforskerne fant ut at FIRESTARTER forsøker å implantere en hook i LINA, kjernemotoren som er ansvarlig for Cisco ASA-nettverksprosessering og sikkerhetsoperasjoner. Denne manipulasjonen lar angripere avlytte normal funksjonalitet og utføre vilkårlig skallkode levert gjennom spesiallagde WebVPN-autentiseringsforespørsler som inneholder en såkalt «magisk pakke».

Denne mekanismen muliggjør fortsatt ondsinnet aktivitet selv etter at sårbarheter er blitt rettet.

LINE VIPER-verktøysettet utvider angriperfunksjoner

Under den samme hendelsen implementerte operatørene et rammeverk etter utnyttelse kalt LINE VIPER, som utvidet kontrollen over det kompromitterte miljøet betydelig. Verktøysettet ble observert utføre følgende handlinger:

  • Utføre CLI-kommandoer
  • Fanger opp nettverkstrafikk
  • Omgå VPN-autentisering, autorisasjon og kontoføring (AAA) for angriperkontrollerte enheter
  • Undertrykke syslog-varsler
  • CLI-aktivitet for innhøstingsadministrator
  • Tvinge frem forsinket systemomstart

De utvidede rettighetene som LINE VIPER ga, skal ha banet vei for FIRESTARTER-distribusjon før 25. september 2025. Angriperne kunne returnere til enheten så sent som måneden før.

Lenker til bredere spionasjeoperasjoner

Forskere som sporer utnyttelse under betegnelsen UAT4356, også kjent som Storm-1849, koblet aktiviteten til tidligere kampanjer. Tidligere vurderinger fra mai 2024 antydet mulige koblinger til Kina.

Denne klyngen hadde tidligere vært assosiert med ArcaneDoor, en kampanje som utnyttet to nulldagssårbarheter fra Cisco for å distribuere tilpasset skadelig programvare som ble brukt til rekognosering og avlytting av nettverkstrafikk.

Kritiske utbedringstiltak for berørte organisasjoner

Sikkerhetseksperter anbefaler på det sterkeste at ethvert bekreftet kompromittering som involverer Cisco Secure ASA- eller Firepower Threat Defense (FTD)-plattformer, behandles som en fullstendig tillitsfeil. Eksisterende enhetskonfigurasjoner bør anses som upålitelige.

For å fullstendig utrydde FIRESTARTER, bør organisasjoner avbilde berørte enheter på nytt og oppgradere til Ciscos faste programvareversjoner. Inntil avbildningen er fullført, anbefales en kald omstart ved å fysisk koble fra og koble til strømmen til apparatet igjen, ettersom programvarebaserte omstartskommandoer ikke vil fjerne det vedvarende implantatet.

Trender

Mest sett

Laster inn...