Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Dyer të pasme FIRESTARTER Backdoor

FIRESTARTER Backdoor

Nga MezoDyer të pasme, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Analistët e sigurisë kibernetike kanë zbuluar se një agjenci civile federale e paidentifikuar pësoi një kompromentim në shtator 2025 që përfshinte një pajisje Cisco Firepower që përdorte softuerin Adaptive Security Appliance (ASA). Hetuesit identifikuan një lloj programi keqdashës të padokumentuar më parë të quajtur FIRESTARTER, i projektuar për të ofruar akses të fshehtë në distancë dhe kontroll afatgjatë mbi sistemet e prekura.

Ndërhyrja besohet të jetë pjesë e një fushate më të gjerë të kryer nga një grup kërcënimesh të vazhdueshme të avancuara (APT) që synon firmware-in Cisco ASA përmes shfrytëzimit të dobësive të njohura që u korrigjuan më vonë.

Ndërhyrja Fillestare Përmes Dobësive të Cisco-s me Rrezik të Lartë

Aktorët kërcënues thuhet se kanë shfrytëzuar dy të meta serioze të sigurisë së Cisco-s për të fituar akses në pajisjet e ekspozuara:

  • CVE-2025-20333 (CVSS 9.9): Validim i gabuar i të dhënave hyrëse që i lejon një sulmuesi të largët të autentifikuar me kredenciale të vlefshme VPN të ekzekutojë kod arbitrar si root nëpërmjet kërkesave të hartuara HTTP.
  • CVE-2025-20362 (CVSS 6.5): Validim i gabuar i të dhënave hyrëse që i lejon një sulmuesi të largët të paautorizuar të hyjë në pikat fundore të URL-ve të kufizuara duke përdorur kërkesa të hartuara HTTP.

Edhe pse janë të disponueshme patch-e, sistemet e dëmtuara para ndreqjes mund të mbeten të kompromentuara.

FIRESTARTER mundëson akses të përhershëm pas patch-it

FIRESTARTER është i njohur për aftësinë e tij për t'i mbijetuar përmirësimeve të firmware-it dhe rinisjeve standarde. Malware-i integrohet në procesin e nisjes duke modifikuar sekuencën e montimit të pajisjes, duke lejuar riaktivizimin automatik sa herë që pajisja riniset normalisht.

Vetëm një cikël i fortë energjie mund ta ndërpresë përkohësisht implantin. Komandat standarde të fikjes, ringarkimit ose rinisjes nuk e heqin atë. Studiuesit vunë re gjithashtu ngjashmëri midis FIRESTARTER dhe një bootkit-i më të hershëm të njohur si RayInitiator.

Manipulimi i Thellë i Sistemit përmes Lina Hooking

Hetuesit zbuluan se FIRESTARTER përpiqet të implantojë një grep brenda LINA-s, motorit kryesor përgjegjës për përpunimin e rrjetit Cisco ASA dhe operacionet e sigurisë. Ky manipulim u lejon sulmuesve të ndërpresin funksionalitetin normal dhe të ekzekutojnë shellcode arbitrar të dërguar përmes kërkesave të hartuara posaçërisht për vërtetimin e WebVPN që përmbajnë një të ashtuquajtur 'paketë magjike'.

Ky mekanizëm mundëson vazhdimin e aktivitetit dashakeq edhe pasi dobësitë janë korrigjuar.

LINE VIPER Toolkit zgjeron aftësitë e sulmuesve

Gjatë të njëjtit incident, operatorët vendosën në përdorim një strukturë post-shfrytëzuese të quajtur LINE VIPER, e cila zgjeroi ndjeshëm kontrollin mbi mjedisin e kompromentuar. U vu re se seti i mjeteve kryente veprimet e mëposhtme:

  • Ekzekutimi i komandave CLI
  • Kapja e trafikut të rrjetit
  • Anashkalimi i Autentifikimit, Autorizimit dhe Kontabilitetit (AAA) të VPN-së për pajisjet e kontrolluara nga sulmuesit
  • Duke shtypur alarmet e regjistrit të sistemit
  • Aktiviteti CLI i administratorit të korrjes
  • Detyrimi i vonesës së rinisjes së sistemit

Privilegjet e larta të ofruara nga LINE VIPER thuhet se i hapën rrugën vendosjes së FIRESTARTER para 25 shtatorit 2025. Sulmuesit ishin në gjendje të ktheheshin në pajisje vetëm muajin e kaluar.

Lidhje me Operacione më të Gjera Spiunazhi

Studiuesit që gjurmojnë shfrytëzimin nën përcaktimin UAT4356, i njohur edhe si Storm-1849, e lidhën aktivitetin me fushata të mëparshme. Vlerësimet e mëparshme nga maji 2024 sugjeruan lidhje të mundshme me Kinën.

Ky klaster ishte shoqëruar më parë me ArcaneDoor, një fushatë që shfrytëzonte dy dobësi zero-day të Cisco-s për të vendosur malware të personalizuar të përdorur për zbulim dhe përgjim të trafikut të rrjetit.

Masat kritike të korrigjimit për organizatat e prekura

Profesionistët e sigurisë këshillojnë fuqimisht që çdo kompromentim i konfirmuar që përfshin platformat Cisco Secure ASA ose Firepower Threat Defense (FTD) të trajtohet si një dështim i plotë i besimit. Konfigurimet ekzistuese të pajisjeve duhet të konsiderohen të pabesueshme.

Për të zhdukur plotësisht FIRESTARTER, organizatat duhet të rivendosin imazhet e pajisjeve të prekura dhe të përditësojnë në versionet e rregulluara të softuerit të Cisco-s. Derisa të përfundojë rivendosja e imazhit, rekomandohet një rinisje e ftohtë duke shkëputur fizikisht dhe rilidhur energjinë në pajisje, pasi komandat e rinisjes të bazuara në softuer nuk do ta heqin implantin e vazhdueshëm.

Në trend

Më e shikuara

Po ngarkohet...