Multilicenčná zľavová ponuka
Databáza hrozieb Zadné vrátka Zadné dvierka FIRESTARTER

Zadné dvierka FIRESTARTER

Do roku Mezo v roku Zadné vrátka, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Analytici kybernetickej bezpečnosti odhalili, že nemenovaná federálna civilná agentúra utrpela v septembri 2025 kompromitáciu zariadenia Cisco Firepower so softvérom Adaptive Security Appliance (ASA). Vyšetrovatelia identifikovali predtým nezdokumentovaný kmeň škodlivého softvéru s názvom FIRESTARTER, ktorý bol navrhnutý tak, aby poskytoval skrytý vzdialený prístup a dlhodobú kontrolu nad postihnutými systémami.

Predpokladá sa, že prienik je súčasťou širšej kampane vedenej skupinou pokročilých perzistentných hrozieb (APT) zameranej na firmvér Cisco ASA prostredníctvom zneužívania známych zraniteľností, ktoré boli neskôr opravené.

Počiatočný prienik prostredníctvom vysokorizikových zraniteľností spoločnosti Cisco

Útočníci údajne využili dve závažné bezpečnostné chyby spoločnosti Cisco na získanie prístupu k exponovaným zariadeniam:

  • CVE-2025-20333 (CVSS 9.9): Nesprávne overovanie vstupu, ktoré umožňuje overenému vzdialenému útočníkovi s platnými prihlasovacími údajmi VPN spustiť ľubovoľný kód ako root prostredníctvom vytvorených HTTP požiadaviek.
  • CVE-2025-20362 (CVSS 6.5): Nesprávne overovanie vstupu umožňujúce neoverenému vzdialenému útočníkovi prístup k obmedzeným koncovým bodom URL pomocou vytvorených požiadaviek HTTP.

Aj keď sú k dispozícii záplaty, systémy narušené pred nápravou môžu zostať ohrozené.

FIRESTARTER umožňuje trvalý prístup po oprave

FIRESTARTER je pozoruhodný svojou schopnosťou prežiť aktualizácie firmvéru a štandardné reštarty. Malvér sa vkladá do procesu spúšťania úpravou postupnosti pripojenia zariadenia, čo umožňuje automatickú reaktiváciu vždy, keď sa zariadenie normálne reštartuje.

Implantát môže dočasne prerušiť iba úplné vypnutie a vypnutie. Štandardné príkazy na vypnutie, opätovné spustenie alebo reštartovanie ho neodstránia. Výskumníci tiež zaznamenali podobnosti medzi FIRESTARTER a starším bootkitom známym ako RayInitiator.

Hlboká manipulácia so systémom prostredníctvom LINA hookingu

Vyšetrovatelia zistili, že FIRESTARTER sa pokúša implantovať hák do LINA, hlavného enginu zodpovedného za spracovanie a bezpečnostné operácie siete Cisco ASA. Táto manipulácia umožňuje útočníkom zachytiť bežné funkcie a spustiť ľubovoľný shellcode doručený prostredníctvom špeciálne vytvorených autentifikačných požiadaviek WebVPN obsahujúcich takzvaný „magický paket“.

Tento mechanizmus umožňuje pokračovanie škodlivej aktivity aj po oprave zraniteľností.

Sada nástrojov LINE VIPER rozširuje možnosti útočníkov

Počas toho istého incidentu operátori nasadili post-exploitačný framework s názvom LINE VIPER, ktorý výrazne rozšíril kontrolu nad kompromitovaným prostredím. Bolo pozorované, že sada nástrojov vykonáva nasledujúce akcie:

  • Vykonávanie príkazov CLI
  • Zachytávanie sieťovej prevádzky
  • Obchádzanie overovania, autorizácie a účtovania VPN (AAA) pre zariadenia ovládané útočníkom
  • Potlačenie upozornení syslogu
  • Zber aktivity CLI administrátora
  • Vynútenie oneskoreného reštartu systému

Zvýšené privilégiá poskytované zariadením LINE VIPER údajne vydláždili cestu pre nasadenie zariadenia FIRESTARTER pred 25. septembrom 2025. Útočníci sa k zariadeniu mohli vrátiť ešte v predchádzajúcom mesiaci.

Prepojenia na širšie špionážne operácie

Výskumníci sledujúci zneužívanie pod označením UAT4356, známym aj ako Storm-1849, spojili túto aktivitu s predchádzajúcimi kampaňami. Predchádzajúce hodnotenia z mája 2024 naznačovali možné prepojenia s Čínou.

Tento klaster bol predtým spojený s kampaňou ArcaneDoor, ktorá zneužívala dve zraniteľnosti Cisco typu zero-day na nasadenie vlastného malvéru používaného na prieskum a zachytávanie sieťovej prevádzky.

Kritické nápravné opatrenia pre dotknuté organizácie

Bezpečnostní odborníci dôrazne odporúčajú, aby sa akýkoľvek potvrdený kompromitujúci systém týkajúci sa platforiem Cisco Secure ASA alebo Firepower Threat Defense (FTD) považoval za zlyhanie úplnej dôvery. Existujúce konfigurácie zariadení by sa mali považovať za nespoľahlivé.

Aby sa úplne odstránil vírus FIRESTARTER, organizácie by mali znova vytvoriť systém pre postihnuté zariadenia a aktualizovať ich na opravené verzie softvéru od spoločnosti Cisco. Kým sa nový systém pre zariadenia nedokončí, odporúča sa vykonať studený reštart fyzickým odpojením a opätovným pripojením napájania zariadenia, pretože softvérové príkazy na reštartovanie neodstránia pretrvávajúci implantát.

Trendy

Najviac videné

Načítava...