Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ușile din spate Ușă din spate FIRESTARTER

Ușă din spate FIRESTARTER

Până în Mezo în Ușile din spate, Amenințare persistentă avansată (APT)
Tradu in:

Analiștii în domeniul securității cibernetice au dezvăluit că o agenție civilă federală anonimă a suferit o compromitere în septembrie 2025 care a implicat un dispozitiv Cisco Firepower care rula software-ul Adaptive Security Appliance (ASA). Anchetatorii au identificat o tulpină de malware nedocumentată anterior, numită FIRESTARTER, concepută pentru a oferi acces de la distanță sub acoperire și control pe termen lung asupra sistemelor afectate.

Se crede că intruziunea face parte dintr-o campanie mai amplă condusă de un grup de amenințări persistente avansate (APT) care vizează firmware-ul Cisco ASA prin exploatarea vulnerabilităților cunoscute, care au fost ulterior corectate.

Intruziune inițială prin vulnerabilități Cisco cu risc ridicat

Se pare că atacatorii au profitat de două vulnerabilități grave de securitate Cisco pentru a accesa dispozitivele expuse:

  • CVE-2025-20333 (CVSS 9.9): Validare incorectă a datelor de intrare care permite unui atacator la distanță autentificat, cu acreditări VPN valide, să execute cod arbitrar ca root prin intermediul unor cereri HTTP create special.
  • CVE-2025-20362 (CVSS 6.5): Validare necorespunzătoare a datelor de intrare care permite unui atacator la distanță neautentificat să acceseze puncte finale URL restricționate folosind cereri HTTP create special.

Deși sunt disponibile patch-uri, sistemele sparte înainte de remediere pot rămâne compromise.

FIRESTARTER permite accesul persistent post-patch

FIRESTARTER este remarcabil pentru capacitatea sa de a supraviețui actualizărilor de firmware și repornirilor standard. Malware-ul se integrează în procesul de pornire prin modificarea secvenței de montare a dispozitivului, permițând reactivarea automată de fiecare dată când dispozitivul repornește normal.

Doar o pornire/oprire puternică poate întrerupe temporar implantul. Comenzile standard de oprire, reîncărcare sau repornire nu îl elimină. Cercetătorii au observat, de asemenea, asemănări între FIRESTARTER și un kit de boot anterior, cunoscut sub numele de RayInitiator.

Manipularea profundă a sistemului prin agățare LINA

Anchetatorii au descoperit că FIRESTARTER încearcă să implanteze un hook în LINA, motorul principal responsabil pentru procesarea rețelei Cisco ASA și operațiunile de securitate. Această manipulare permite atacatorilor să intercepteze funcționalitatea normală și să execute cod shell arbitrar livrat prin intermediul unor cereri de autentificare WebVPN special concepute, care conțin un așa-numit „pachet magic”.

Acest mecanism permite continuarea activității rău intenționate chiar și după ce vulnerabilitățile au fost remediate.

Trusa de instrumente LINE VIPER extinde capacitățile atacatorilor

În timpul aceluiași incident, operatorii au implementat un framework post-exploatare numit LINE VIPER, care a extins semnificativ controlul asupra mediului compromis. Setul de instrumente a fost observat efectuând următoarele acțiuni:

  • Executarea comenzilor CLI
  • Captarea traficului de rețea
  • Ocolirea autentificării, autorizării și contabilizării VPN (AAA) pentru dispozitivele controlate de atacatori
  • Suprimarea alertelor syslog
  • Activitatea CLI a administratorului de recoltare
  • Forțarea repornirilor întârziate ale sistemului

Se pare că privilegiile sporite oferite de LINE VIPER au deschis calea pentru implementarea FIRESTARTER înainte de 25 septembrie 2025. Atacatorii au putut reveni la dispozitiv chiar și luna precedentă.

Legături către operațiuni de spionaj mai ample

Cercetătorii care au urmărit exploatarea sub denumirea UAT4356, cunoscută și sub numele de Storm-1849, au asociat activitatea cu campanii anterioare. Evaluările anterioare din mai 2024 au sugerat posibile legături cu China.

Acest cluster fusese asociat anterior cu ArcaneDoor, o campanie care a exploatat două vulnerabilități zero-day Cisco pentru a implementa programe malware personalizate utilizate pentru recunoaștere și interceptarea traficului de rețea.

Măsuri critice de remediere pentru organizațiile afectate

Profesioniștii în domeniul securității recomandă insistent ca orice compromis confirmat care implică platformele Cisco Secure ASA sau Firepower Threat Defense (FTD) să fie tratat ca o eroare de încredere totală. Configurațiile existente ale dispozitivelor ar trebui considerate nesigure.

Pentru a elimina complet FIRESTARTER, organizațiile ar trebui să reia imaginea dispozitivelor afectate și să facă upgrade la versiunile fixe de software de la Cisco. Până la finalizarea reiaminării, se recomandă o repornire la rece prin deconectarea și reconectarea fizică a alimentării dispozitivului, deoarece comenzile de repornire bazate pe software nu vor elimina implantarea persistentă.

Trending

Cele mai văzute

Se încarcă...