Задња врата FIRESTARTER-а

Аналитичари сајбер безбедности открили су да је неименована федерална цивилна агенција претрпела компромитовање у септембру 2025. године које је укључивало Cisco Firepower уређај на којем је покретан Adaptive Security Appliance (ASA) софтвер. Истражитељи су идентификовали раније недокументовани сој злонамерног софтвера под називом FIRESTARTER, дизајниран да омогући тајни даљински приступ и дугорочну контролу над погођеним системима.

Верује се да је упад део шире кампање коју спроводи напредна група за перзистентне претње (APT), циљајући Cisco ASA фирмвер кроз искоришћавање познатих рањивости које су касније исправљене.

Почетни упад кроз високоризичне Cisco рањивости

Наводно су актери претње искористили два озбиљна безбедносна недостатка компаније Cisco како би добили приступ откривеним уређајима:

• CVE-2025-20333 (CVSS 9.9): Неправилна валидација уноса која омогућава аутентификованом удаљеном нападачу са важећим VPN акредитивима да извршава произвољни код као root путем креираних HTTP захтева.
• CVE-2025-20362 (CVSS 6.5): Неправилна валидација уноса која омогућава неаутентификованом удаљеном нападачу да приступи ограниченим URL крајњим тачкама користећи креиране HTTP захтеве.

Иако су доступне закрпе, системи који су били покварени пре санације могу остати угрожени.

FIRESTARTER омогућава трајан приступ након закрпе

FIRESTARTER је познат по својој способности да преживи надоградње фирмвера и стандардна поновна покретања. Злонамерни софтвер се уграђује у процес покретања мењајући редослед монтирања уређаја, омогућавајући аутоматску реактивацију кад год се уређај нормално поново покрене.

Само потпуно искључивање и напајање може привремено прекинути имплант. Стандардне команде за искључивање, поновно покретање или рестартовање га не уклањају. Истраживачи су такође приметили сличности између FIRESTARTER-а и ранијег буткита познатог као RayInitiator.

Дубока манипулација системом путем LINA качења

Истраживачи су открили да FIRESTARTER покушава да имплантира „hook“ унутар LINA-е, основног механизма одговорног за обраду и безбедносне операције Cisco ASA мреже. Ова манипулација омогућава нападачима да пресретну нормалне функционалности и изврше произвољни шел код који се испоручује путем посебно креираних WebVPN захтева за аутентификацију који садрже такозвани „магични пакет“.

Овај механизам омогућава наставак злонамерних активности чак и након што су рањивости исправљене.

LINE VIPER Toolkit проширује могућности нападача

Током истог инцидента, оператери су применили пост-експлоатацијски оквир под називом LINE VIPER, који је значајно проширио контролу над угроженим окружењем. Примећено је да комплет алата извршава следеће радње:

• Извршавање CLI команди
• Снимање мрежног саобраћаја
• Заобилажење VPN аутентификације, ауторизације и рачуноводства (AAA) за уређаје које контролише нападач
• Сузбијање упозорења системског лога
• Прикупљање активности администратора командне линије (CLI)
• Присилно поновно покретање система са кашњењем

Повећане привилегије које је обезбедио LINE VIPER наводно су отвориле пут за распоређивање FIRESTARTER-а пре 25. септембра 2025. Нападачи су могли да се врате на уређај још претходног месеца.

Линкови до ширих шпијунских операција

Истраживачи који прате експлоатацију под ознаком UAT4356, познатом и као Storm-1849, повезали су активност са ранијим кампањама. Претходне процене из маја 2024. године указивале су на могуће везе са Кином.

Овај кластер је раније био повезан са ArcaneDoor-ом, кампањом која је искористила две Cisco zero-day рањивости за распоређивање прилагођеног малвера који се користи за извиђање и пресретање мрежног саобраћаја.

Критичне мере санације за погођене организације

Стручњаци за безбедност снажно саветују да се свако потврђено компромитовање које укључује Cisco Secure ASA или Firepower Threat Defense (FTD) платформе третира као потпуни пропуст поверења. Постојеће конфигурације уређаја треба сматрати непоузданим.

Да би се FIRESTARTER у потпуности искоренио, организације би требало да поново креирају слике погођених уређаја и надограде их на фиксна издања Cisco софтвера. Док се поново креирају слике, препоручује се хладно поновно покретање физичким искључивањем и поновним повезивањем напајања уређаја, јер софтверске команде за поновно покретање неће уклонити трајни имплант.