FIRESTARTER Backdoor
Analitycy ds. cyberbezpieczeństwa ujawnili, że we wrześniu 2025 roku doszło do ataku na anonimową federalną agencję cywilną, która padła ofiarą ataku na urządzenie Cisco Firepower z oprogramowaniem Adaptive Security Appliance (ASA). Śledczy zidentyfikowali wcześniej nieudokumentowany szczep złośliwego oprogramowania o nazwie FIRESTARTER, zaprojektowany w celu zapewnienia ukrytego zdalnego dostępu i długoterminowej kontroli nad systemami, których dotyczył atak.
Uważa się, że włamanie jest częścią szerszej kampanii prowadzonej przez grupę zajmującą się zaawansowanym, uporczywym zagrożeniem (APT), której celem jest oprogramowanie sprzętowe Cisco ASA poprzez wykorzystanie znanych luk w zabezpieczeniach, które później załatano.
Spis treści
Początkowe włamanie przez luki w zabezpieczeniach Cisco wysokiego ryzyka
Jak podają źródła, atakujący wykorzystali dwie poważne luki w zabezpieczeniach Cisco, aby uzyskać dostęp do narażonych urządzeń:
- CVE-2025-20333 (CVSS 9.9): Nieprawidłowa walidacja danych wejściowych umożliwiająca uwierzytelnionemu zdalnemu atakującemu z prawidłowymi danymi uwierzytelniającymi VPN wykonanie dowolnego kodu jako root za pośrednictwem spreparowanych żądań HTTP.
- CVE-2025-20362 (CVSS 6.5): Nieprawidłowa walidacja danych wejściowych umożliwiająca nieuwierzytelnionemu zdalnemu atakującemu dostęp do zastrzeżonych punktów końcowych adresów URL przy użyciu spreparowanych żądań HTTP.
Mimo że dostępne są poprawki, systemy, które zostały naruszone przed podjęciem działań naprawczych, mogą pozostać zagrożone.
FIRESTARTER umożliwia stały dostęp po wprowadzeniu poprawki
FIRESTARTER wyróżnia się odpornością na aktualizacje oprogramowania sprzętowego i standardowe restarty. Szkodliwe oprogramowanie wbudowuje się w proces uruchamiania, modyfikując sekwencję montowania urządzenia, umożliwiając automatyczną reaktywację po każdym normalnym restarcie urządzenia.
Tylko twardy cykl zasilania może tymczasowo przerwać działanie implantu. Standardowe polecenia wyłączenia, przeładowania lub restartu nie usuwają go. Naukowcy zauważyli również podobieństwa między FIRESTARTEREM a wcześniejszym bootkitem znanym jako RayInitiator.
Głęboka manipulacja systemem poprzez podłączanie LINA
Śledczy odkryli, że FIRESTARTER próbuje wszczepić hak do LINA, głównego silnika odpowiedzialnego za przetwarzanie i bezpieczeństwo sieci Cisco ASA. Ta manipulacja pozwala atakującym przechwycić normalną funkcjonalność i wykonać dowolny kod powłoki dostarczany za pośrednictwem specjalnie spreparowanych żądań uwierzytelniania WebVPN zawierających tzw. „magiczny pakiet”.
Mechanizm ten umożliwia kontynuację szkodliwej aktywności nawet po załataniu luk.
Zestaw narzędzi LINE VIPER rozszerza możliwości atakujących
Podczas tego samego incydentu operatorzy wdrożyli platformę poeksploatacyjną o nazwie LINE VIPER, która znacząco rozszerzyła kontrolę nad zainfekowanym środowiskiem. Zaobserwowano, że zestaw narzędzi wykonywał następujące czynności:
- Wykonywanie poleceń CLI
- Przechwytywanie ruchu sieciowego
- Omijanie uwierzytelniania, autoryzacji i rozliczania VPN (AAA) w przypadku urządzeń kontrolowanych przez atakującego
- Tłumienie alertów syslog
- Zbieranie aktywności CLI administratora
- Wymuszanie opóźnionych ponownych uruchomień systemu
Podwyższone uprawnienia zapewniane przez LINE VIPER miały podobno utorować drogę do wdrożenia FIRESTARTER przed 25 września 2025 r. Atakujący byli w stanie powrócić do urządzenia jeszcze w poprzednim miesiącu.
Linki do szerszych operacji szpiegowskich
Badacze śledzący eksploatację pod oznaczeniem UAT4356, znaną również jako Storm-1849, powiązali tę aktywność z wcześniejszymi kampaniami. Wcześniejsze oceny z maja 2024 roku sugerowały możliwe powiązania z Chinami.
Klaster ten był wcześniej powiązany z ArcaneDoor, kampanią wykorzystującą dwie luki typu zero-day firmy Cisco do wdrażania niestandardowego złośliwego oprogramowania służącego do rozpoznania i przechwytywania ruchu sieciowego.
Krytyczne środki zaradcze dla organizacji dotkniętych problemem
Specjaliści ds. bezpieczeństwa stanowczo zalecają, aby wszelkie potwierdzone naruszenia bezpieczeństwa dotyczące platform Cisco Secure ASA lub Firepower Threat Defense (FTD) traktować jako całkowite naruszenie zaufania. Istniejące konfiguracje urządzeń należy uznać za zawodne.
Aby całkowicie wyeliminować zagrożenie FIRESTARTER, organizacje powinny odtworzyć obrazy urządzeń, których dotyczy problem, i zaktualizować je do wersji oprogramowania Cisco. Do czasu zakończenia odtwarzania obrazów zaleca się wykonanie zimnego restartu poprzez fizyczne odłączenie i ponowne podłączenie zasilania urządzenia, ponieważ polecenia restartu oparte na oprogramowaniu nie usuną trwałego implantu.
