Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Cửa sau FIRESTARTER Backdoor

FIRESTARTER Backdoor

Đến năm Mezo năm Cửa sau, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Các nhà phân tích an ninh mạng đã tiết lộ rằng một cơ quan dân sự liên bang giấu tên đã bị xâm phạm vào tháng 9 năm 2025 liên quan đến thiết bị Cisco Firepower chạy phần mềm Adaptive Security Appliance (ASA). Các nhà điều tra đã xác định một chủng phần mềm độc hại chưa từng được ghi nhận trước đây có tên FIRESTARTER, được thiết kế để cung cấp quyền truy cập từ xa bí mật và kiểm soát lâu dài các hệ thống bị ảnh hưởng.

Vụ xâm nhập này được cho là một phần của chiến dịch rộng lớn hơn do một nhóm tin tặc tấn công dai dẳng (APT) thực hiện, nhắm mục tiêu vào phần mềm firmware của Cisco ASA thông qua việc khai thác các lỗ hổng đã biết mà sau đó đã được vá.

Xâm nhập ban đầu thông qua các lỗ hổng bảo mật rủi ro cao của Cisco

Theo các nguồn tin, tin tặc đã lợi dụng hai lỗ hổng bảo mật nghiêm trọng của Cisco để xâm nhập vào các thiết bị dễ bị tấn công:

  • CVE-2025-20333 (CVSS 9.9): Lỗi xác thực đầu vào không đúng cách cho phép kẻ tấn công từ xa đã được xác thực với thông tin đăng nhập VPN hợp lệ thực thi mã tùy ý với quyền root thông qua các yêu cầu HTTP được tạo sẵn.
  • CVE-2025-20362 (CVSS 6.5): Lỗi xác thực đầu vào cho phép kẻ tấn công từ xa không được xác thực truy cập vào các điểm cuối URL bị hạn chế bằng cách sử dụng các yêu cầu HTTP được tạo sẵn.

Mặc dù đã có các bản vá lỗi, nhưng các hệ thống bị xâm nhập trước khi khắc phục sự cố có thể vẫn bị ảnh hưởng.

FIRESTARTER cho phép truy cập liên tục sau khi vá lỗi.

FIRESTARTER nổi bật nhờ khả năng tồn tại sau khi nâng cấp firmware và khởi động lại thiết bị. Phần mềm độc hại này tự nhúng vào quá trình khởi động bằng cách sửa đổi trình tự gắn kết của thiết bị, cho phép tự động kích hoạt lại bất cứ khi nào thiết bị khởi động lại bình thường.

Chỉ có việc tắt nguồn đột ngột rồi bật lại mới có thể tạm thời vô hiệu hóa phần mềm cấy ghép. Các lệnh tắt máy, tải lại hoặc khởi động lại thông thường không thể xóa bỏ nó. Các nhà nghiên cứu cũng ghi nhận sự tương đồng giữa FIRESTARTER và một bootkit trước đó có tên là RayInitiator.

Thao túng hệ thống sâu thông qua LINA Hooking

Các nhà điều tra phát hiện ra rằng FIRESTARTER cố gắng cài đặt một mã độc vào bên trong LINA, bộ xử lý lõi chịu trách nhiệm xử lý mạng và các hoạt động bảo mật của Cisco ASA. Thao tác này cho phép kẻ tấn công chặn các chức năng thông thường và thực thi mã độc tùy ý được gửi qua các yêu cầu xác thực WebVPN được tạo ra đặc biệt, chứa một "gói tin ma thuật".

Cơ chế này cho phép các hoạt động độc hại tiếp tục diễn ra ngay cả sau khi các lỗ hổng đã được vá.

Bộ công cụ LINE VIPER mở rộng khả năng tấn công của kẻ xâm nhập.

Trong cùng sự cố đó, các nhà điều hành đã triển khai một khung công nghệ khai thác hậu xâm nhập có tên LINE VIPER, giúp mở rộng đáng kể quyền kiểm soát đối với môi trường bị xâm nhập. Bộ công cụ này được quan sát thấy thực hiện các hành động sau:

  • Thực thi các lệnh CLI
  • Ghi lại lưu lượng mạng
  • Vượt qua xác thực, ủy quyền và ghi nhật ký (AAA) VPN cho các thiết bị do kẻ tấn công kiểm soát.
  • Tắt cảnh báo syslog
  • Thu thập hoạt động CLI của quản trị viên
  • Buộc khởi động lại hệ thống bị trì hoãn

Theo các nguồn tin, đặc quyền được nâng cao do LINE VIPER cung cấp đã mở đường cho việc triển khai FIRESTARTER trước ngày 25 tháng 9 năm 2025. Kẻ tấn công thậm chí đã có thể quay lại thiết bị này vào tháng trước đó.

Liên kết với các hoạt động gián điệp rộng lớn hơn

Các nhà nghiên cứu theo dõi hoạt động khai thác mang tên UAT4356, còn được gọi là Storm-1849, đã liên kết hoạt động này với các chiến dịch trước đó. Các đánh giá trước đây từ tháng 5 năm 2024 cho thấy có thể có liên hệ với Trung Quốc.

Cụm máy chủ này trước đây có liên quan đến ArcaneDoor, một chiến dịch khai thác hai lỗ hổng bảo mật zero-day của Cisco để triển khai phần mềm độc hại tùy chỉnh được sử dụng cho mục đích trinh sát và chặn lưu lượng mạng.

Các biện pháp khắc phục quan trọng đối với các tổ chức bị ảnh hưởng

Các chuyên gia bảo mật đặc biệt khuyến cáo rằng bất kỳ sự xâm nhập nào được xác nhận liên quan đến nền tảng Cisco Secure ASA hoặc Firepower Threat Defense (FTD) đều phải được coi là lỗi mất độ tin cậy hoàn toàn. Cấu hình thiết bị hiện tại nên được xem là không đáng tin cậy.

Để loại bỏ hoàn toàn FIRESTARTER, các tổ chức nên cài đặt lại hình ảnh hệ điều hành cho các thiết bị bị ảnh hưởng và nâng cấp lên các phiên bản phần mềm đã được Cisco sửa lỗi. Cho đến khi quá trình cài đặt lại hình ảnh hoàn tất, nên khởi động lại thiết bị bằng cách ngắt và kết nối lại nguồn điện, vì các lệnh khởi động lại dựa trên phần mềm sẽ không loại bỏ được mã độc còn sót lại.

xu hướng

Xem nhiều nhất

Đang tải...