Rabattoffert för flera licenser
Hotdatabas Bakdörrar FIRESTARTER Bakdörr

FIRESTARTER Bakdörr

Med Mezo år Bakdörrar, Advanced Persistent Threat (APT)
Översätt till:

Cybersäkerhetsanalytiker har avslöjat att en icke namngiven federal civil myndighet i september 2025 drabbades av ett intrång som involverade en Cisco Firepower-enhet som körde programvaran Adaptive Security Appliance (ASA). Utredarna identifierade en tidigare odokumenterad skadlig kodstam vid namn FIRESTARTER, utformad för att ge hemlig fjärråtkomst och långsiktig kontroll över drabbade system.

Intrånget tros vara en del av en bredare kampanj som genomförs av en avancerad APT-grupp (persistent threat) som riktar sig mot Cisco ASA-firmware genom att utnyttja kända sårbarheter som senare åtgärdades.

Initialt intrång genom högrisk-Cisco-sårbarheter

Hotaktörer utnyttjade enligt uppgift två allvarliga säkerhetsbrister från Cisco för att få tillgång till exponerade enheter:

  • CVE-2025-20333 (CVSS 9.9): Felaktig inmatningsvalidering gör det möjligt för en autentiserad fjärrangripare med giltiga VPN-inloggningsuppgifter att exekvera godtycklig kod som root via specialskrivna HTTP-förfrågningar.
  • CVE-2025-20362 (CVSS 6.5): Felaktig inmatningsvalidering gör det möjligt för en oautentiserad angripare att komma åt begränsade URL-slutpunkter med hjälp av specialtillverkade HTTP-förfrågningar.

Även om patchar finns tillgängliga kan system som har intrång före åtgärd förbli komprometterade.

FIRESTARTER möjliggör beständig åtkomst efter patch

FIRESTARTER är känt för sin förmåga att överleva firmware-uppgraderingar och vanliga omstarter. Skadlig programvara bäddar in sig i startprocessen genom att modifiera enhetens monteringssekvens, vilket möjliggör automatisk återaktivering när apparaten startar om normalt.

Endast en hård avstängning kan avbryta implantatet tillfälligt. Vanliga kommandon för avstängning, omladdning eller omstart tar inte bort det. Forskare noterade också likheter mellan FIRESTARTER och ett tidigare bootkit känt som RayInitiator.

Djupgående systemmanipulation genom LINA-hooking

Utredarna fann att FIRESTARTER försöker implantera en hook i LINA, kärnmotorn som ansvarar för Cisco ASA-nätverksbearbetning och säkerhetsoperationer. Denna manipulation gör det möjligt för angripare att avlyssna normal funktionalitet och exekvera godtycklig skalkod som levereras via specialutformade WebVPN-autentiseringsförfrågningar som innehåller ett så kallat "magiskt paket".

Denna mekanism möjliggör fortsatt skadlig aktivitet även efter att sårbarheter har åtgärdats.

LINE VIPER-verktygssats utökar angriparmöjligheter

Under samma incident driftsatte operatörerna ett ramverk efter exploatering som heter LINE VIPER, vilket avsevärt utökade kontrollen över den komprometterade miljön. Verktygslådan observerades utföra följande åtgärder:

  • Köra CLI-kommandon
  • Registrera nätverkstrafik
  • Kringgå VPN-autentisering, auktorisering och redovisning (AAA) för angriparstyrda enheter
  • Undertrycka syslog-aviseringar
  • CLI-aktivitet för insamlingsadministratör
  • Tvinga fram fördröjda systemomstarter

De utökade privilegier som LINE VIPER tillhandahöll banade enligt uppgift väg för FIRESTARTER-distribution före den 25 september 2025. Angripare kunde återvända till enheten så sent som föregående månad.

Länkar till bredare spionageoperationer

Forskare som spårade exploatering under beteckningen UAT4356, även känd som Storm-1849, kopplade aktiviteten till tidigare kampanjer. Tidigare bedömningar från maj 2024 tydde på möjliga kopplingar till Kina.

Detta kluster hade tidigare kopplats till ArcaneDoor, en kampanj som utnyttjade två Cisco-nolldagssårbarheter för att distribuera anpassad skadlig kod som används för rekognoscering och avlyssning av nätverkstrafik.

Kritiska åtgärdsåtgärder för berörda organisationer

Säkerhetsexperter rekommenderar starkt att alla bekräftade komprometter som involverar Cisco Secure ASA- eller Firepower Threat Defense (FTD)-plattformar behandlas som ett fullständigt förtroendefel. Befintliga enhetskonfigurationer bör betraktas som otillförlitliga.

För att helt utrota FIRESTARTER bör organisationer ominstallera berörda enheter och uppgradera till Ciscos fasta programvaruversioner. Tills ominstalleringen av avbildningen är klar rekommenderas en kall omstart genom att fysiskt koppla bort och återansluta strömmen till enheten, eftersom programvarubaserade omstartskommandon inte kommer att ta bort det kvarstående implantatet.

Trendigt

Mest sedda

Läser in...