FIRESTARTER Backdoor

அடாப்டிவ் செக்யூரிட்டி அப்ளையன்ஸ் (ASA) மென்பொருளை இயக்கும் சிஸ்கோ ஃபயர்பவர் சாதனம் சம்பந்தப்பட்ட ஒரு பாதுகாப்பு மீறலை, பெயர் குறிப்பிடப்படாத ஒரு மத்திய சிவில் நிறுவனம் செப்டம்பர் 2025-ல் சந்தித்ததாக இணையப் பாதுகாப்பு ஆய்வாளர்கள் வெளிப்படுத்தியுள்ளனர். பாதிக்கப்பட்ட கணினிகளுக்கு மறைமுகமான தொலைநிலை அணுகலையும் நீண்டகாலக் கட்டுப்பாட்டையும் வழங்கும் வகையில் வடிவமைக்கப்பட்ட, ஃபயர்ஸ்டார்ட்டர் (FIRESTARTER) என்ற, இதற்கு முன்னர் ஆவணப்படுத்தப்படாத ஒரு தீம்பொருள் வகையை புலனாய்வாளர்கள் அடையாளம் கண்டுள்ளனர்.

பின்னர் சரிசெய்யப்பட்ட, அறியப்பட்ட பாதிப்புகளைப் பயன்படுத்தி, சிஸ்கோ ASA மென்பொருளினை இலக்காகக் கொண்டு, மேம்பட்ட தொடர் அச்சுறுத்தல் (APT) குழு ஒன்று நடத்திய பரந்த அளவிலான நடவடிக்கையின் ஒரு பகுதியே இந்த ஊடுருவல் என்று நம்பப்படுகிறது.

அதிக ஆபத்துள்ள சிஸ்கோ பாதிப்புகள் மூலம் ஆரம்பக்கட்ட ஊடுருவல்

அச்சுறுத்தல் செய்பவர்கள், சிஸ்கோவின் இரண்டு கடுமையான பாதுகாப்பு குறைபாடுகளைப் பயன்படுத்தி, பாதிப்புக்குள்ளான சாதனங்களுக்குள் நுழைந்ததாகக் கூறப்படுகிறது:

• CVE-2025-20333 (CVSS 9.9): முறையற்ற உள்ளீட்டுச் சரிபார்ப்பு காரணமாக, செல்லுபடியாகும் VPN சான்றுகளைக் கொண்ட, அங்கீகரிக்கப்பட்ட தொலைநிலைத் தாக்குபவர், வடிவமைக்கப்பட்ட HTTP கோரிக்கைகள் மூலம் ரூட்டாகத் தன்னிச்சையான குறியீட்டை இயக்க முடிகிறது.
• CVE-2025-20362 (CVSS 6.5): முறையற்ற உள்ளீட்டுச் சரிபார்ப்பு காரணமாக, அங்கீகரிக்கப்படாத தொலைநிலைத் தாக்குபவர், வடிவமைக்கப்பட்ட HTTP கோரிக்கைகளைப் பயன்படுத்தி, தடைசெய்யப்பட்ட URL முனைகளை அணுக முடிகிறது.

பிழைத்திருத்தங்கள் கிடைத்தாலும், சரிசெய்யப்படுவதற்கு முன்பு ஊடுருவப்பட்ட அமைப்புகள் தொடர்ந்து பாதிப்புக்குள்ளாகலாம்.

ஃபயர்ஸ்டார்ட்டர், பேட்ச்சிற்குப் பிறகும் தொடர்ச்சியான அணுகலைச் செயல்படுத்துகிறது.

ஃபார்ம்வேர் மேம்படுத்தல்கள் மற்றும் வழக்கமான மறுதொடக்கம் ஆகியவற்றைத் தாங்கி நிற்கும் திறனுக்காக ஃபயர்ஸ்டார்ட்டர் குறிப்பிடத்தக்கது. இந்த மால்வேர், சாதனத்தின் மவுண்ட் வரிசையை மாற்றுவதன் மூலம் தொடக்கச் செயல்பாட்டில் தன்னை உட்பொதித்துக்கொள்கிறது. இதனால், சாதனம் சாதாரணமாக மறுதொடக்கம் செய்யப்படும்போதெல்லாம் தானாகவே மீண்டும் செயல்படத் தொடங்குகிறது.

ஒரு முழுமையான பவர் சைக்கிள் மட்டுமே அந்த இம்ப்ளான்ட்டை தற்காலிகமாக செயலிழக்கச் செய்ய முடியும். வழக்கமான ஷட் டவுன், ரீலோட் அல்லது ரீபூட் கட்டளைகள் அதை அகற்றாது. மேலும், FIRESTARTER-க்கும் RayInitiator எனப்படும் முந்தைய பூட்கிட்டிற்கும் இடையே உள்ள ஒற்றுமைகளையும் ஆராய்ச்சியாளர்கள் குறிப்பிட்டனர்.

லினா ஹூக்கிங் மூலம் ஆழமான அமைப்பு கையாளுதல்

சிஸ்கோ ASA நெட்வொர்க் செயலாக்கம் மற்றும் பாதுகாப்பு நடவடிக்கைகளுக்குப் பொறுப்பான மைய இயந்திரமான LINA-விற்குள், FIRESTARTER ஒரு ஹூக்கைப் பொருத்த முயற்சிக்கிறது என்பதை புலனாய்வாளர்கள் கண்டறிந்தனர். இந்த முறைகேடு, தாக்குதல் நடத்துபவர்களை இயல்பான செயல்பாடுகளை இடைமறிக்கவும், 'மேஜிக் பாக்கெட்' எனப்படும் ஒன்றைக் கொண்ட, சிறப்பாக வடிவமைக்கப்பட்ட WebVPN அங்கீகாரக் கோரிக்கைகள் மூலம் வழங்கப்படும் தன்னிச்சையான ஷெல்கோடை இயக்கவும் அனுமதிக்கிறது.

பாதுகாப்புக் குறைபாடுகள் சரிசெய்யப்பட்ட பின்னரும் கூட, தீங்கிழைக்கும் செயல்பாடுகள் தொடர இந்த வழிமுறை வழிவகுக்கிறது.

லைன் வைப்பர் கருவித்தொகுப்பு தாக்குபவரின் திறன்களை விரிவுபடுத்துகிறது

அதே சம்பவத்தின் போது, ஆபரேட்டர்கள் LINE VIPER எனப்படும் ஒரு பிந்தைய சுரண்டல் கட்டமைப்பைப் பயன்படுத்தினர், இது பாதிக்கப்பட்ட சூழலின் மீதான கட்டுப்பாட்டை கணிசமாக விரிவுபடுத்தியது. அந்தக் கருவித்தொகுப்பு பின்வரும் செயல்களைச் செய்வதாகக் காணப்பட்டது:

• CLI கட்டளைகளை இயக்குதல்
• பிணையப் போக்குவரத்தைக் கைப்பற்றுதல்
• தாக்குபவரால் கட்டுப்படுத்தப்படும் சாதனங்களுக்கான VPN அங்கீகாரம், அதிகாரமளித்தல் மற்றும் கணக்கியல் (AAA) ஆகியவற்றைத் தவிர்த்தல்
• சிஸ்லாக் எச்சரிக்கைகளை அடக்குதல்
• நிர்வாகி CLI செயல்பாட்டை அறுவடை செய்தல்
• தாமதமான கணினி மறுதொடக்கம் செய்ய கட்டாயப்படுத்துதல்

LINE VIPER வழங்கிய மேம்படுத்தப்பட்ட சிறப்புரிமைகள், செப்டம்பர் 25, 2025-க்கு முன்னர் FIRESTARTER நிலைநிறுத்தப்படுவதற்கு வழிவகுத்ததாகக் கூறப்படுகிறது. தாக்குதல் நடத்தியவர்களால் கடந்த மாதம் கூட அந்தச் சாதனத்திற்கு மீண்டும் நுழைய முடிந்தது.

பரந்த உளவு நடவடிக்கைகளுக்கான இணைப்புகள்

UAT4356 அல்லது Storm-1849 என்ற குறியீட்டின் கீழ் சுரண்டலைக் கண்காணிக்கும் ஆராய்ச்சியாளர்கள், இந்தச் செயல்பாட்டை முந்தைய நடவடிக்கைகளுடன் தொடர்புபடுத்தினர். மே 2024-இல் செய்யப்பட்ட முந்தைய மதிப்பீடுகள், சீனாவுடன் சாத்தியமான தொடர்புகள் இருப்பதாகச் சுட்டிக்காட்டின.

இந்தக் குழுமம் முன்னதாக ஆர்கேன்டோர் என்ற தாக்குதலுடன் தொடர்புடையதாக இருந்தது. அந்தத் தாக்குதல், சிஸ்கோவின் இரண்டு ஜீரோ-டே பாதிப்புகளைப் பயன்படுத்தி, உளவு மற்றும் பிணையப் போக்குவரத்து இடைமறிப்புக்காகப் பயன்படுத்தப்படும் தனிப்பயன் தீம்பொருளைப் பரப்பியது.

பாதிக்கப்பட்ட நிறுவனங்களுக்கான முக்கிய நிவாரண நடவடிக்கைகள்

சிஸ்கோ செக்யூர் ஏஎஸ்ஏ (Cisco Secure ASA) அல்லது ஃபயர்பவர் த்ரெட் டிஃபென்ஸ் (FTD) தளங்கள் சம்பந்தப்பட்ட, உறுதிசெய்யப்பட்ட எந்தவொரு பாதுகாப்பு மீறலையும் முழுமையான நம்பிக்கை தோல்வியாகக் கருதுமாறு பாதுகாப்பு வல்லுநர்கள் கடுமையாக அறிவுறுத்துகின்றனர். தற்போதுள்ள சாதன உள்ளமைவுகள் நம்பகத்தன்மையற்றவையாகக் கருதப்பட வேண்டும்.

ஃபயர்ஸ்டார்ட்டரை முழுமையாக ஒழிக்க, நிறுவனங்கள் பாதிக்கப்பட்ட சாதனங்களை ரீஇமேஜிங் செய்து, சிஸ்கோவின் சரிசெய்யப்பட்ட மென்பொருள் வெளியீடுகளுக்கு மேம்படுத்த வேண்டும். ரீஇமேஜிங் முடியும் வரை, சாதனத்தின் மின் இணைப்பை நேரடியாகத் துண்டித்து மீண்டும் இணைப்பதன் மூலம் ஒரு கோல்ட் ரீஸ்டார்ட் செய்வது பரிந்துரைக்கப்படுகிறது, ஏனெனில் மென்பொருள் அடிப்படையிலான ரீபூட் கட்டளைகள் இந்தத் தொடர்ச்சியான உட்பதிவை அகற்றாது.