Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Achterdeurtjes FIRESTARTER Achterdeur

FIRESTARTER Achterdeur

Tegen Mezo in Achterdeurtjes, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Cybersecurity-analisten hebben onthuld dat een niet nader genoemde federale overheidsinstantie in september 2025 slachtoffer is geworden van een inbreuk waarbij een Cisco Firepower-apparaat met Adaptive Security Appliance (ASA)-software betrokken was. Onderzoekers identificeerden een voorheen onbekende malwarevariant genaamd FIRESTARTER, die is ontworpen om heimelijke toegang op afstand en langdurige controle over getroffen systemen te verkrijgen.

De inbraak maakt vermoedelijk deel uit van een bredere campagne van een geavanceerde persistente dreigingsgroep (APT) die zich richt op Cisco ASA-firmware door misbruik te maken van bekende kwetsbaarheden die later zijn verholpen.

Initiële inbraak via risicovolle Cisco-kwetsbaarheden

Naar verluidt hebben cybercriminelen twee ernstige beveiligingslekken in Cisco-systemen misbruikt om toegang te krijgen tot kwetsbare apparaten:

  • CVE-2025-20333 (CVSS 9.9): Onjuiste invoervalidatie waardoor een geauthenticeerde externe aanvaller met geldige VPN-gegevens willekeurige code als root kan uitvoeren via speciaal geconstrueerde HTTP-verzoeken.
  • CVE-2025-20362 (CVSS 6.5): Onjuiste invoervalidatie waardoor een niet-geauthenticeerde externe aanvaller toegang kan krijgen tot beperkte URL-eindpunten met behulp van speciaal geconstrueerde HTTP-verzoeken.

Hoewel er patches beschikbaar zijn, kunnen systemen die vóór de herstelwerkzaamheden zijn gehackt, nog steeds kwetsbaar zijn.

FIRESTARTER maakt permanente toegang na de patch mogelijk.

FIRESTARTER staat bekend om zijn vermogen om firmware-updates en normale herstarts te overleven. De malware nestelt zich in het opstartproces door de mount-sequentie van het apparaat te wijzigen, waardoor automatische reactivering mogelijk is telkens wanneer het apparaat normaal opnieuw opstart.

Alleen een volledige stroomonderbreking kan het implantaat tijdelijk uitschakelen. Standaard commando's zoals afsluiten, herladen of opnieuw opstarten verwijderen het niet. Onderzoekers merkten ook overeenkomsten op tussen FIRESTARTER en een eerdere bootkit genaamd RayInitiator.

Diepgaande systeemmanipulatie via LINA-hooks

Onderzoekers ontdekten dat FIRESTARTER probeert een hook te implanteren in LINA, de kernengine die verantwoordelijk is voor de netwerkverwerking en beveiligingsfuncties van Cisco ASA. Deze manipulatie stelt aanvallers in staat om de normale functionaliteit te onderscheppen en willekeurige shellcode uit te voeren die wordt verzonden via speciaal geconstrueerde WebVPN-authenticatieverzoeken die een zogenaamd 'magic packet' bevatten.

Dit mechanisme maakt voortgezette kwaadwillige activiteiten mogelijk, zelfs nadat de beveiligingslekken zijn gedicht.

LINE VIPER Toolkit vergroot de mogelijkheden van aanvallers

Tijdens hetzelfde incident zetten de operators een post-exploitatie framework in, genaamd LINE VIPER, waarmee ze de controle over de gecompromitteerde omgeving aanzienlijk konden uitbreiden. De toolkit werd waargenomen terwijl deze de volgende acties uitvoerde:

  • CLI-opdrachten uitvoeren
  • Netwerkverkeer vastleggen
  • Het omzeilen van VPN-authenticatie, -autorisatie en -accounting (AAA) voor door aanvallers bestuurde apparaten.
  • Syslog-waarschuwingen onderdrukken
  • Het verzamelen van CLI-activiteit van de beheerder
  • Het systeem geforceerd opnieuw opstarten na een bepaalde tijd.

De verhoogde privileges die LINE VIPER bood, zouden de weg hebben vrijgemaakt voor de inzet van FIRESTARTER vóór 25 september 2025. Aanvallers konden zelfs nog vorige maand toegang krijgen tot het apparaat.

Links naar bredere spionageoperaties

Onderzoekers die de exploitatie onder de aanduiding UAT4356, ook bekend als Storm-1849, volgen, hebben de activiteit in verband gebracht met eerdere campagnes. Eerdere analyses uit mei 2024 suggereerden mogelijke banden met China.

Deze cluster was eerder in verband gebracht met ArcaneDoor, een campagne die twee zero-day-kwetsbaarheden van Cisco misbruikte om aangepaste malware te verspreiden die werd gebruikt voor verkenning en het onderscheppen van netwerkverkeer.

Essentiële herstelmaatregelen voor getroffen organisaties

Beveiligingsprofessionals adviseren ten zeerste om elke bevestigde inbreuk op Cisco Secure ASA- of Firepower Threat Defense (FTD)-platformen te behandelen als een volledig vertrouwensfalen. Bestaande apparaatconfiguraties moeten als onbetrouwbaar worden beschouwd.

Om FIRESTARTER volledig te verwijderen, moeten organisaties de getroffen apparaten opnieuw installeren en upgraden naar de softwareversies van Cisco die het probleem verhelpen. Totdat de herinstallatie is voltooid, wordt een koude herstart aanbevolen door de stroomtoevoer naar het apparaat fysiek te onderbreken en weer aan te sluiten, aangezien softwarematige herstartopdrachten de persistente infectie niet verwijderen.

Trending

Meest bekeken

Bezig met laden...