Država sponzorišu napade na Cisco Firepower: FIRESTARTER malver instaliran kroz n-day ranjivosti
UAT-4356 grupa aktivno napada Cisco Firepower kroz n-day ranjivosti i instalira FIRESTARTER malver za neovlašćenu mrežnu kontrolu.
Šta se desilo?
Državom podržane grupe napadača aktivno eksploatišu dve poznate ranjivosti u Cisco Firepower uređajima kako bi instalirali napredni malver poznat kao FIRESTARTER. Grupa UAT-4356, poznata po ArcaneDoor kampanji, iskorišćava lanac ranjivosti da bi se infiltrirala u FXOS okruženja i uspostavila neovlašćenu kontrolu nad mrežnom infrastrukturom.
Koga pogađa?
Primarno su ugrožene organizacije koje koriste Cisco ASA i FTD sigurnosne appliance-e, posebno one sa Firepower Extensible Operating System (FXOS) platformom. Ugroženi su vladine agencije, finansijske institucije, telekomunikacijske kompanije i ostale kritične infrastrukture koje zavise od Cisco mrežne sigurnosti na periferiji mreže.
Kako se zaštititi?
- Odmah primenite kritične softverske zakrpe preporučene u Cisco Security Advisory saopštenju i CISA Emergency Directive 25-03
- Izvršite hitnu pretragu svih Firepower uređaja tražeći privremene datoteke i neobične procese koji mogu ukazati na FIRESTARTER infekciju
- Izvršite čist reinstall (reimage) svih potencijalno kompromitovanih uređaja kako biste u potpunosti eliminisali malver
- Uključite Snort pravila 65340, 46897 i 62949 za detekciju eksploatacije i malver aktivnosti
- Za FTD uređaje, zaustavite kompromikovane procese i restartujte sistem izvan lockdown moda
- Primenjujte redovne bezbednosne ažuriranja i pratite CISA uputstva za Cisco proizvode
Tehnički detalji
Napadi koriste dve n-day ranjivosti: CVE-2025-20333 i CVE-2025-20362. FIRESTARTER malver se ubacuje direktno u LINA proces koji je srce Cisco sigurnosnih appliance-a. Napadači menjaju redosled pokretanja uređaja preko Service Platform mount liste kako bi osigurali persistenciju. Malver presreće WebVPN zahteve i izvršava proizvoljni kod ako zahtev sadrži specifičan prefiks. Mehanizam je izuzetno sofisticiran jer čini infekciju prolaznom - obrisana je nakon hard reboot-a fizičkim isključivanjem napajanja.
Preporuka Sajber Radara
Sve organizacije sa Cisco Firepower uređajima trebaju hitno da proveravaju svoju infrastrukturu i primene dostupne zakrpe. Ova kampanja pokazuje razilastnost n-day ranjivosti u rukama država - redovna ažuriranja i monitoring sigurnosti nisu opcija već obaveza.