FIRESTARTER bekdor na Cisco Firepower preživljava čak i nakon bezbednosnih ispravki
FIRESTARTER bekdor na Cisco Firepower može da ostane aktivan čak i nakon bezbednosnih ažuriranja i zahteva radikalne mere za otklanjanje.
Šta se desilo?
Američka agencija CISA i britanski NCSC otkrili su novi malver nazvan FIRESTARTER koji je korišćen u napadu na federalnu agenciju preko Cisco Firepower uređaja. Bekdor je instaliran iskorišćavanjem poznatih ranjivosti (CVE-2025-20333 i CVE-2025-20362) i može da zadrži pristup čak i nakon što se uredi ažuriše na najnoviju verziju firmware-a.
Kako radi FIRESTARTER?
FIRESTARTER je Linux malver koji se ugrađuje u boot sekvencu uređaja, omogućavajući mu da ostane aktivan čak i nakon reboota. Za razliku od klasičnog malvera koji se uklanja obnovom softvera, ovaj bekdor manipulira startup procesima kako bi se aktivirao pri svakom normalnom pokretanju. Napadači su koristili dodatni alat nazvan LINE VIPER kako bi izvršavali komande, prihvatali VPN promet i prikrivali tragove svoje aktivnosti.
Koga pogađa?
Pogođeni su sve organizacije sa Cisco ASA i Firepower Threat Defense (FTD) uređajima koji nisu pravovremeno ažurirali bezbednosne ispravke ili su već bili kompromitirani pre nego što su ispravke dostale. Posebno su ugrožene vladine institucije, kritična infrastruktura i velika preduzeća sa mrežnom infrastrukturom na osnovu Cisco-a.
Kako se zaštititi?
- Odmah ažurirajte sve Cisco ASA i FTD uređaje na najnovije verzije sa bezbednosnim ispravkama za CVE-2025-20333 i CVE-2025-20362
- Uključite monitoring i pronađite sve neobične WebVPN zahteve sa magičnim paketima
- Izvedite hladni restart (fizičko isključenje iz napajanja, ne softverski reboot) sumnjivих uređaja kako biste izbrisali FIRESTARTER iz memorije
- Ako postoji sumnja na kompromitaciju, prepravite ceo uređaj sa novom slikom firmware-a jer ažuriranje nije dovoljno
- Redovno pregledavajte VPN pristupe i prijavljene korisnike u syslog fajlovima
- Ograničite pristup mrežnim uređajima samo sa bezbednih lokacija i korišćenjem jakih autentifikacijskih mehanizama
Tehnički detalji
CVE-2025-20333 (CVSS 9.9) omogućava autentificiranom napadaču sa VPN kredencijalima da izvršava proizvoljni kod kao root preko specijalnih HTTP zahteva. CVE-2025-20362 (CVSS 6.5) dozvoljava neautentificiranom napadaču pristup zaštićenim URL endpointima bez prijave. FIRESTARTER je Linux ELF binarni fajl koji manipulira LINA procesom (srž Cisco mrežne obrade) i može da ostane skrit duže od godinu dana. Slična ranjivost zvana RayInitiator korišćena je ranije sa sličnom strategijom trajnog zadržavanja pristupa.
Preporuka Sajber Radara
Ovo je kritičan slučaj jer standardna ažuriranja ne rešavaju problem u već kompromitirani uređajima. Sve organizacije sa Cisco opremom trebaju odmah da provere da li su primene novije bezbednosne ispravke i da razmotri preinstalaciju firmware-a na svim kritičnim uređajima kao dodatnu meru zaštite.