Multi-License Discount Quote
Banta sa Database Mga backdoor FIRESTARTER Backdoor

FIRESTARTER Backdoor

Sa pamamagitan ng Mezo sa Mga backdoor, Advanced Persistent Threat (APT)
Isalin To:

Isiniwalat ng mga analyst sa cybersecurity na isang hindi pinangalanang pederal na ahensya ng sibilyan ang nakaranas ng kompromiso noong Setyembre 2025 na kinasasangkutan ng isang Cisco Firepower device na nagpapatakbo ng Adaptive Security Appliance (ASA) software. Natukoy ng mga imbestigador ang isang dating hindi dokumentadong strain ng malware na pinangalanang FIRESTARTER, na idinisenyo upang magbigay ng palihim na malayuang pag-access at pangmatagalang kontrol sa mga apektadong sistema.

Ang panghihimasok ay pinaniniwalaang bahagi ng isang mas malawak na kampanya na isinagawa ng isang advanced persistent threat (APT) group na tumatarget sa Cisco ASA firmware sa pamamagitan ng pagsasamantala sa mga kilalang kahinaan na kalaunan ay naayos.

Paunang Panghihimasok sa Pamamagitan ng mga Kahinaan ng Cisco na May Mataas na Panganib

Iniulat na ginamit ng mga aktor ng banta ang dalawang malubhang depekto sa seguridad ng Cisco upang makapasok sa mga nakalantad na device:

  • CVE-2025-20333 (CVSS 9.9): Hindi wastong pagpapatunay ng input na nagpapahintulot sa isang napatunayang remote attacker na may wastong mga kredensyal ng VPN na isagawa ang arbitraryong code bilang root sa pamamagitan ng mga ginawang kahilingan sa HTTP.
  • CVE-2025-20362 (CVSS 6.5): Hindi wastong pagpapatunay ng input na nagpapahintulot sa isang hindi awtorisadong remote attacker na ma-access ang mga pinaghihigpitang endpoint ng URL gamit ang mga ginawang kahilingan sa HTTP.

Bagama't may mga patch na magagamit, ang mga sistemang lumabag bago ang remediation ay maaaring manatiling nakompromiso.

Pinapagana ng FIRESTARTER ang Patuloy na Pag-access Pagkatapos ng Patch

Ang FIRESTARTER ay kapansin-pansin sa kakayahan nitong makayanan ang mga pag-upgrade ng firmware at mga karaniwang pag-reboot. Isinama ng malware ang sarili nito sa proseso ng pagsisimula sa pamamagitan ng pagbabago sa pagkakasunod-sunod ng pag-mount ng device, na nagpapahintulot sa awtomatikong muling pag-activate tuwing normal na mag-reboot ang appliance.

Tanging isang hard power cycle lamang ang maaaring pansamantalang makaantala sa implant. Hindi ito inaalis ng mga karaniwang utos na shutdown, reload, o reboot. Napansin din ng mga mananaliksik ang pagkakatulad sa pagitan ng FIRESTARTER at isang naunang bootkit na kilala bilang RayInitiator.

Malalim na Manipulasyon ng Sistema sa Pamamagitan ng LINA Hooking

Natuklasan ng mga imbestigador na tinatangka ng FIRESTARTER na maglagay ng kawit sa loob ng LINA, ang pangunahing engine na responsable para sa pagproseso ng network at mga operasyon sa seguridad ng Cisco ASA. Ang manipulasyong ito ay nagbibigay-daan sa mga umaatake na maharang ang normal na paggana at magsagawa ng arbitraryong shellcode na inihahatid sa pamamagitan ng mga espesyal na ginawang kahilingan sa pagpapatotoo ng WebVPN na naglalaman ng tinatawag na 'magic packet.'

Ang mekanismong ito ay nagbibigay-daan sa patuloy na malisyosong aktibidad kahit na naayos na ang mga kahinaan.

Pinalalawak ng LINE VIPER Toolkit ang mga Kakayahan ng Attacker

Sa parehong insidente, nagpatupad ang mga operator ng post-exploitation framework na tinatawag na LINE VIPER, na lubos na nagpalawak ng kontrol sa nakompromisong kapaligiran. Naobserbahang isinasagawa ng toolkit ang mga sumusunod na aksyon:

  • Pagpapatupad ng mga utos ng CLI
  • Pagkuha ng trapiko sa network
  • Pag-bypass sa VPN Authentication, Authorization, and Accounting (AAA) para sa mga device na kontrolado ng attacker
  • Pagsugpo sa mga alerto ng syslog
  • Aktibidad ng CLI ng administrador ng pag-aani
  • Pagpipilit sa mga naantalang pag-reboot ng system

Ang mas mataas na pribilehiyong ibinigay ng LINE VIPER ay naiulat na nagbukas ng daan para sa pag-deploy ng FIRESTARTER bago ang Setyembre 25, 2025. Nakabalik ang mga umaatake sa device noong nakaraang buwan lamang.

Mga Link sa Mas Malawak na Operasyon ng Paniniktik

Ang mga mananaliksik na sumusubaybay sa pagsasamantala sa ilalim ng katawagang UAT4356, na kilala rin bilang Storm-1849, ay nag-ugnay sa aktibidad sa mga naunang kampanya. Ang mga nakaraang pagtatasa mula Mayo 2024 ay nagmungkahi ng mga posibleng kaugnayan sa Tsina.

Ang kumpol na ito ay dating iniugnay sa ArcaneDoor, isang kampanyang nagsamantala sa dalawang kahinaan ng Cisco zero-day upang mag-deploy ng custom na malware na ginagamit para sa pagmamanman at pagharang sa trapiko sa network.

Mga Kritikal na Hakbang sa Pagwawasto para sa mga Apektadong Organisasyon

Mariing ipinapayo ng mga propesyonal sa seguridad na ang anumang nakumpirmang kompromiso na kinasasangkutan ng mga platform ng Cisco Secure ASA o Firepower Threat Defense (FTD) ay ituring na isang ganap na pagkabigo ng tiwala. Ang mga kasalukuyang configuration ng device ay dapat ituring na hindi maaasahan.

Para tuluyang maalis ang FIRESTARTER, dapat baguhin ng mga organisasyon ang imahe ng mga apektadong device at mag-upgrade sa mga nakapirming release ng software ng Cisco. Hanggang sa makumpleto ang reimaging, inirerekomenda ang isang cold restart sa pamamagitan ng pisikal na pagdiskonekta at muling pagkonekta ng kuryente sa appliance, dahil ang mga utos sa pag-reboot na nakabatay sa software ay hindi mag-aalis ng persistent implant.

Trending

Pinaka Nanood

Naglo-load...