Zadnja vrata FIRESTARTER
Analitiki za kibernetsko varnost so razkrili, da je neimenovana zvezna civilna agencija septembra 2025 utrpela vdor v napravo Cisco Firepower, na kateri je bila nameščena programska oprema Adaptive Security Appliance (ASA). Preiskovalci so odkrili prej nedokumentiran sev zlonamerne programske opreme z imenom FIRESTARTER, ki je zasnovan za zagotavljanje prikritega oddaljenega dostopa in dolgoročnega nadzora nad prizadetimi sistemi.
Domneva se, da je vdor del širše kampanje, ki jo izvaja skupina za napredne vztrajne grožnje (APT), usmerjena v vdelano programsko opremo Cisco ASA z izkoriščanjem znanih ranljivosti, ki so bile kasneje odpravljene.
Kazalo
Začetni vdor prek visoko tveganih ranljivosti Cisco
Grožnje so domnevno izkoristile dve resni varnostni pomanjkljivosti podjetja Cisco, da bi vstopile v izpostavljene naprave:
- CVE-2025-20333 (CVSS 9.9): Nepravilno preverjanje vnosa, ki omogoča overjenemu oddaljenemu napadalcu z veljavnimi poverilnicami VPN izvajanje poljubne kode kot root prek izdelanih zahtev HTTP.
- CVE-2025-20362 (CVSS 6.5): Nepravilno preverjanje vnosa, ki omogoča nepreverjenemu oddaljenemu napadalcu dostop do omejenih končnih točk URL-jev z uporabo izdelanih zahtev HTTP.
Čeprav so na voljo popravki, lahko sistemi, v katere je bila vdor opravljena pred odpravo napak, ostanejo ogroženi.
FIRESTARTER omogoča trajen dostop po namestitvi popravka
FIRESTARTER je znan po svoji sposobnosti preživetja nadgradenj vdelane programske opreme in standardnih ponovnih zagonov. Zlonamerna programska oprema se vgradi v postopek zagona tako, da spremeni zaporedje priklopa naprave, kar omogoča samodejno ponovno aktivacijo vsakič, ko se naprava normalno znova zažene.
Samo polni vklop/izklop lahko začasno prekine vsadek. Standardni ukazi za zaustavitev, ponovni zagon ali ponovni zagon ga ne odstranijo. Raziskovalci so opazili tudi podobnosti med programom FIRESTARTER in starejšim zagonskim kompletom, znanim kot RayInitiator.
Globoka manipulacija sistema s pomočjo LINA hookinga
Preiskovalci so ugotovili, da FIRESTARTER poskuša vsaditi kavelj v LINA, osrednji mehanizem, odgovoren za obdelavo in varnostne operacije omrežja Cisco ASA. Ta manipulacija napadalcem omogoča prestrezanje običajnega delovanja in izvajanje poljubne shellcode, ki se dostavi prek posebej izdelanih zahtev za preverjanje pristnosti WebVPN, ki vsebujejo tako imenovani »čarobni paket«.
Ta mehanizem omogoča nadaljnje zlonamerne dejavnosti tudi po odpravljanju ranljivosti.
Komplet orodij LINE VIPER širi zmogljivosti napadalcev
Med istim incidentom so operaterji uvedli ogrodje za po-izkoriščanje, imenovano LINE VIPER, ki je znatno razširilo nadzor nad ogroženim okoljem. Orodje je bilo opaženo pri izvajanju naslednjih dejanj:
- Izvajanje ukazov CLI
- Zajemanje omrežnega prometa
- Obhod overjanja, avtorizacije in računovodstva VPN (AAA) za naprave, ki jih nadzoruje napadalec
- Zatiranje opozoril sistemskega dnevnika
- Pridobivanje dejavnosti skrbnika CLI
- Vsiljevanje zakasnjenih ponovnih zagonov sistema
Povečane pravice, ki jih zagotavlja LINE VIPER, naj bi tlakovale pot za uvedbo FIRESTARTER pred 25. septembrom 2025. Napadalci so se lahko vrnili k napravi še prejšnji mesec.
Povezave do širših vohunskih operacij
Raziskovalci, ki so spremljali izkoriščanje pod oznako UAT4356, znano tudi kot Storm-1849, so aktivnost povezali s prejšnjimi kampanjami. Prejšnje ocene iz maja 2024 so nakazovale morebitne povezave s Kitajsko.
Ta grozd je bil prej povezan z ArcaneDoor, kampanjo, ki je izkoristila dve ranljivosti Cisco ničelnega dne za namestitev zlonamerne programske opreme po meri, ki se uporablja za izvidovanje in prestrezanje omrežnega prometa.
Kritični sanacijski ukrepi za prizadete organizacije
Varnostni strokovnjaki toplo priporočajo, da se vsaka potrjena ogrožitev, ki vključuje platforme Cisco Secure ASA ali Firepower Threat Defense (FTD), obravnava kot popolna napaka zaupanja. Obstoječe konfiguracije naprav je treba šteti za nezanesljive.
Za popolno odpravo virusa FIRESTARTER morajo organizacije ponovno ustvariti slike prizadetih naprav in jih nadgraditi na Ciscove popravljene izdaje programske opreme. Dokler ponovna namestitev ni končana, je priporočljiv hladen ponovni zagon s fizičnim odklopom in ponovnim priklopom napajanja naprave, saj ukazi za ponovni zagon, ki temeljijo na programski opremi, ne bodo odstranili trajnega vsadka.
