FIRESTARTER Backdoor

సైబర్‌ సెక్యూరిటీ విశ్లేషకులు వెల్లడించిన దాని ప్రకారం, అడాప్టివ్ సెక్యూరిటీ అప్లయెన్స్ (ASA) సాఫ్ట్‌వేర్‌ను నడుపుతున్న సిస్కో ఫైర్‌పవర్ పరికరానికి సంబంధించి, సెప్టెంబర్ 2025లో పేరు వెల్లడి కాని ఒక ఫెడరల్ పౌర సంస్థ హ్యాకింగ్‌కు గురైంది. ప్రభావిత సిస్టమ్‌లపై రహస్య రిమోట్ యాక్సెస్ మరియు దీర్ఘకాలిక నియంత్రణను అందించడానికి రూపొందించబడిన, ఇంతకుముందు నమోదుకాని ఫైర్‌స్టార్టర్ అనే మాల్‌వేర్ రకాన్ని దర్యాప్తుదారులు గుర్తించారు.

తరువాత సరిదిద్దబడిన, తెలిసిన బలహీనతలను ఉపయోగించుకోవడం ద్వారా సిస్కో ASA ఫర్మ్‌వేర్‌ను లక్ష్యంగా చేసుకుని, ఒక అధునాతన నిరంతర ముప్పు (APT) సమూహం నిర్వహించిన విస్తృత ప్రచారంలో ఈ చొరబాటు ఒక భాగమని భావిస్తున్నారు.

అధిక-ప్రమాదకరమైన సిస్కో దుర్బలత్వాల ద్వారా ప్రారంభ చొరబాటు

ముప్పు కలిగించే వ్యక్తులు బహిర్గతమైన పరికరాల్లోకి ప్రవేశించడానికి సిస్కో యొక్క రెండు తీవ్రమైన భద్రతా లోపాలను ఉపయోగించుకున్నట్లు సమాచారం.

• CVE-2025-20333 (CVSS 9.9): సరికాని ఇన్‌పుట్ ధ్రువీకరణ కారణంగా, చెల్లుబాటు అయ్యే VPN ఆధారాలతో ప్రామాణీకరించబడిన రిమోట్ దాడి చేసేవాడు, రూపొందించిన HTTP అభ్యర్థనల ద్వారా రూట్‌గా ఏకపక్ష కోడ్‌ను అమలు చేయడానికి అనుమతిస్తుంది.
• CVE-2025-20362 (CVSS 6.5): సరికాని ఇన్‌పుట్ ధ్రువీకరణ కారణంగా, ప్రామాణీకరణ లేని రిమోట్ దాడిదారుడు ప్రత్యేకంగా రూపొందించిన HTTP అభ్యర్థనలను ఉపయోగించి పరిమిత URL ఎండ్‌పాయింట్‌లను యాక్సెస్ చేయడానికి వీలు కలుగుతుంది.

ప్యాచ్‌లు అందుబాటులో ఉన్నప్పటికీ, పరిష్కారానికి ముందే ఉల్లంఘనకు గురైన సిస్టమ్‌లు ప్రమాదంలోనే ఉండిపోవచ్చు.

ఫైర్‌స్టార్టర్ ప్యాచ్ తర్వాత నిరంతర యాక్సెస్‌ను ప్రారంభిస్తుంది

ఫర్మ్‌వేర్ అప్‌గ్రేడ్‌లు మరియు సాధారణ రీబూట్‌లను తట్టుకోగల సామర్థ్యానికి ఫైర్‌స్టార్టర్ ప్రసిద్ధి చెందింది. ఈ మాల్వేర్, పరికరం యొక్క మౌంట్ సీక్వెన్స్‌ను సవరించడం ద్వారా స్టార్టప్ ప్రక్రియలో తనను తాను చొప్పించుకుంటుంది, దీనివల్ల పరికరం సాధారణంగా రీబూట్ అయినప్పుడల్లా అది స్వయంచాలకంగా తిరిగి యాక్టివేట్ అవుతుంది.

కేవలం హార్డ్ పవర్ సైకిల్ మాత్రమే ఇంప్లాంట్‌ను తాత్కాలికంగా నిలిపివేయగలదు. సాధారణ షట్‌డౌన్, రీలోడ్ లేదా రీబూట్ ఆదేశాలు దానిని తొలగించవు. పరిశోధకులు ఫైర్‌స్టార్టర్‌కు మరియు రేఇనిషియేటర్ అని పిలువబడే మునుపటి బూట్‌కిట్‌కు మధ్య సారూప్యతలను కూడా గుర్తించారు.

LINA హుకింగ్ ద్వారా లోతైన సిస్టమ్ మానిప్యులేషన్

సిస్కో ASA నెట్‌వర్క్ ప్రాసెసింగ్ మరియు భద్రతా కార్యకలాపాలకు బాధ్యత వహించే ప్రధాన ఇంజిన్ అయిన LINA లోపల ఒక హుక్‌ను చొప్పించడానికి FIRESTARTER ప్రయత్నిస్తుందని దర్యాప్తుదారులు కనుగొన్నారు. ఈ తారుమారు, దాడి చేసేవారికి సాధారణ కార్యాచరణను అడ్డగించడానికి మరియు 'మ్యాజిక్ ప్యాకెట్' అని పిలవబడే దానిని కలిగి ఉన్న ప్రత్యేకంగా రూపొందించిన WebVPN ప్రామాణీకరణ అభ్యర్థనల ద్వారా పంపబడిన ఏకపక్ష షెల్‌కోడ్‌ను అమలు చేయడానికి అనుమతిస్తుంది.

ఈ యంత్రాంగం, లోపాలను సరిదిద్దిన తర్వాత కూడా హానికరమైన కార్యకలాపాలు కొనసాగడానికి వీలు కల్పిస్తుంది.

లైన్ వైపర్ టూల్కిట్ దాడి చేసేవారి సామర్థ్యాలను విస్తరిస్తుంది

అదే సంఘటనలో, ఆపరేటర్లు లైన్ వైపర్ (LINE VIPER) అనే పోస్ట్-ఎక్స్‌ప్లాయిటేషన్ ఫ్రేమ్‌వర్క్‌ను అమలు చేశారు, ఇది రాజీపడిన వాతావరణంపై నియంత్రణను గణనీయంగా విస్తరించింది. ఈ టూల్‌కిట్ కింది చర్యలను నిర్వహిస్తున్నట్లు గమనించబడింది:

• CLI ఆదేశాలను అమలు చేయడం
• నెట్‌వర్క్ ట్రాఫిక్‌ను సంగ్రహించడం
• దాడి చేసేవారి నియంత్రణలో ఉన్న పరికరాల కోసం VPN ప్రమాణీకరణ, అధికారం మరియు అకౌంటింగ్ (AAA)ను దాటవేయడం
• సిస్లాగ్ హెచ్చరికలను అణచివేయడం
• హార్వెస్టింగ్ అడ్మినిస్ట్రేటర్ CLI కార్యాచరణ
• ఆలస్యమైన సిస్టమ్ రీబూట్‌లను బలవంతం చేయడం

LINE VIPER అందించిన ఉన్నత అధికారాలు, సెప్టెంబర్ 25, 2025 కంటే ముందే FIRESTARTERను అమలు చేయడానికి మార్గం సుగమం చేశాయని నివేదికలు చెబుతున్నాయి. దాడి చేసేవారు గత నెలలోనే ఆ పరికరంలోకి తిరిగి ప్రవేశించగలిగారు.

విస్తృత గూఢచర్య కార్యకలాపాలకు లింకులు

స్టోర్మ్-1849 అని కూడా పిలువబడే UAT4356 అనే సంకేతం కింద జరుగుతున్న దోపిడీని పర్యవేక్షిస్తున్న పరిశోధకులు, ఈ కార్యకలాపాన్ని మునుపటి దాడులతో ముడిపెట్టారు. మే 2024 నాటి మునుపటి అంచనాలు చైనాతో సాధ్యమయ్యే సంబంధాలను సూచించాయి.

ఈ క్లస్టర్ గతంలో ఆర్కేన్‌డోర్‌తో సంబంధం కలిగి ఉంది, ఇది నిఘా మరియు నెట్‌వర్క్ ట్రాఫిక్ అంతరాయం కోసం ఉపయోగించే కస్టమ్ మాల్వేర్‌ను మోహరించడానికి రెండు సిస్కో జీరో-డే బలహీనతలను ఉపయోగించుకున్న ఒక ప్రచారం.

ప్రభావిత సంస్థలకు కీలక నివారణ చర్యలు

సిస్కో సెక్యూర్ ASA లేదా ఫైర్‌పవర్ థ్రెట్ డిఫెన్స్ (FTD) ప్లాట్‌ఫారమ్‌లకు సంబంధించిన ఏదైనా నిర్ధారిత రాజీని పూర్తి విశ్వాస వైఫల్యంగా పరిగణించాలని భద్రతా నిపుణులు గట్టిగా సలహా ఇస్తున్నారు. ఇప్పటికే ఉన్న పరికర కాన్ఫిగరేషన్‌లను నమ్మదగనివిగా పరిగణించాలి.

ఫైర్‌స్టార్టర్‌ను పూర్తిగా నిర్మూలించడానికి, సంస్థలు ప్రభావిత పరికరాలను రీఇమేజ్ చేసి, సిస్కో యొక్క పరిష్కరించబడిన సాఫ్ట్‌వేర్ విడుదలలకు అప్‌గ్రేడ్ చేయాలి. రీఇమేజింగ్ పూర్తయ్యే వరకు, పరికరానికి భౌతికంగా విద్యుత్ సరఫరాను నిలిపివేసి, తిరిగి అనుసంధానించడం ద్వారా కోల్డ్ రీస్టార్ట్ చేయాలని సిఫార్సు చేయబడింది, ఎందుకంటే సాఫ్ట్‌వేర్ ఆధారిత రీబూట్ ఆదేశాలు శాశ్వత ఇంప్లాంట్‌ను తొలగించవు.