Задній дверцята FIRESTARTER
Аналітики з кібербезпеки повідомили, що неназване федеральне цивільне агентство зазнало компрометації у вересні 2025 року, пов'язаної з пристроєм Cisco Firepower, на якому працює програмне забезпечення Adaptive Security Appliance (ASA). Слідчі виявили раніше недокументований штам шкідливого програмного забезпечення під назвою FIRESTARTER, розроблений для забезпечення прихованого віддаленого доступу та довгострокового контролю над ураженими системами.
Вважається, що вторгнення є частиною ширшої кампанії, проведеної групою розвідки постійних загроз (APT), спрямованої на прошивку Cisco ASA шляхом використання відомих вразливостей, які пізніше були виправлені.
Зміст
Початкове вторгнення через високоризикові вразливості Cisco
Повідомляється, що зловмисники скористалися двома серйозними недоліками безпеки Cisco, щоб отримати доступ до вразливих пристроїв:
- CVE-2025-20333 (CVSS 9.9): Неправильна перевірка вхідних даних, що дозволяє автентифікованому віддаленому зловмиснику з дійсними обліковими даними VPN виконувати довільний код від імені root через спеціально створені HTTP-запити.
- CVE-2025-20362 (CVSS 6.5): Неправильна перевірка вхідних даних, що дозволяє неавтентифікованому віддаленому зловмиснику отримувати доступ до обмежених кінцевих точок URL-адрес за допомогою спеціально створених HTTP-запитів.
Хоча виправлення доступні, системи, пошкоджені до виправлення, можуть залишатися скомпрометованими.
FIRESTARTER забезпечує постійний доступ після оновлення
FIRESTARTER відрізняється здатністю виживати після оновлення прошивки та стандартних перезавантажень. Шкідливе програмне забезпечення вбудовується в процес запуску, змінюючи послідовність монтування пристрою, що дозволяє автоматичну повторну активацію щоразу, коли пристрій перезавантажується нормально.
Тільки повне вимкнення та повторне ввімкнення живлення може тимчасово перервати роботу імпланта. Стандартні команди вимкнення, перезавантаження або перезавантаження не видаляють його. Дослідники також відзначили схожість між FIRESTARTER та попереднім буткітом, відомим як RayInitiator.
Глибоке маніпулювання системою за допомогою перехоплення LINA
Слідчі виявили, що FIRESTARTER намагається імплантувати перехоплювач всередину LINA, основного механізму, відповідального за обробку та безпеку мережі Cisco ASA. Ця маніпуляція дозволяє зловмисникам перехоплювати звичайні функції та виконувати довільний шелл-код, що надсилається через спеціально створені запити автентифікації WebVPN, що містять так званий «магічний пакет».
Цей механізм дозволяє продовжувати шкідливу діяльність навіть після виправлення вразливостей.
Інструментарій LINE VIPER розширює можливості зловмисника
Під час того ж інциденту оператори розгорнули пост-експлуатаційну платформу під назвою LINE VIPER, яка значно розширила контроль над скомпрометованим середовищем. Було помічено, що цей інструментарій виконував такі дії:
- Виконання команд CLI
- Захоплення мережевого трафіку
- Обхід автентифікації, авторизації та обліку VPN (AAA) для пристроїв, контрольованих зловмисником
- Придушення сповіщень системного журналу
- Збір даних про активність адміністратора CLI
- Примусове перезавантаження системи із затримкою
Повідомляється, що підвищені привілеї, що надаються LINE VIPER, проклали шлях для розгортання FIRESTARTER до 25 вересня 2025 року. Зловмисники змогли повернутися до пристрою ще минулого місяця.
Посилання на ширші шпигунські операції
Дослідники, які відстежують експлуатацію під позначенням UAT4356, також відомим як Storm-1849, пов'язали цю активність з попередніми кампаніями. Попередні оцінки від травня 2024 року вказували на можливі зв'язки з Китаєм.
Цей кластер раніше був пов'язаний з ArcaneDoor, кампанією, яка використовувала дві вразливості нульового дня Cisco для розгортання спеціального шкідливого програмного забезпечення, що використовувалося для розвідки та перехоплення мережевого трафіку.
Критичні заходи щодо усунення наслідків для постраждалих організацій
Фахівці з безпеки наполегливо радять розглядати будь-яку підтверджену компрометацію, пов'язану з платформами Cisco Secure ASA або Firepower Threat Defense (FTD), як повну помилку довіри. Існуючі конфігурації пристроїв слід вважати ненадійними.
Щоб повністю позбутися FIRESTARTER, організаціям слід перезавантажити уражені пристрої та оновити їх до виправлених версій програмного забезпечення Cisco. До завершення перезавантаження рекомендується виконати холодний перезапуск шляхом фізичного відключення та повторного підключення живлення пристрою, оскільки команди перезавантаження на основі програмного забезпечення не видалять постійний імплантат.
