Opasna Firestarter zlonamerna softver zadržava pristup Cisco zaštitnicima čak i posle ispravki
Firestarter malver napada Cisco zaštinike i nastavlja pristup čak i posle instalacije sigurnosnih ispravki kroz sofisticirane tehnike skrivanja.
Šta se desilo?
Bezbednosni stručnjaci su otkrili sofisticiran malver nazvan Firestarter koji napada Cisco zaštinike i koristi starije sigurnosne probleme da ostane aktivan čak i nakon što korisnici instaliraju ispravke. Napadači mogu nastaviti da pristupaju zaraženim uređajima bez potrebe da ponovo iskoriste pronađene rupe, što predstavlja prilično opasnu situaciju.
Koga pogađa?
Ozbiljno su ugroženi korisnici Cisco ASA i Firepower softvera, kao i određenih Firepower i Secure Firewall modela. Do sada je američka CISA potvrđivala samo jedan uspešan slučaj na Cisco Firepower uređaju sa ASA softverom, ali rizik je širi. Cilj su uglavnom organizacije koje koriste ove zaštinike kao deo svoje mrežne infrastrukture.
Kako se zaštititi?
- Odmah proverite da li je uređaj zaražen - generišite jezgro memorije (core dump) i koristite dostavljene YARA pravila za detektovanje
- Ako postoji infekcija, fizički isključite uređaj iz sve struje - uključujući rezervne izvore - na najmanje jedan minut
- Nakon isključivanja, ponovo spojite napajanje i restartujte uređaj
- Razmotrите ponovno instaliranje operativnog sistema (reimage) kao alternativu
- Ažurirajte na zakrpljene verzije ASA i Firepower softvera
- Modernizujte kontrolu pristupa koristeći TACACS+ protokol sa TLS 1.3
- Redovno auditujte nasleđene račune i ograničite njihova dozvola
Tehnički detalji
Napadači su iskorišćavali CVE-2025-20333 i CVE-2025-20362 pre nego što su objavljene ispravke. Nakon ulaska u sistem, koristili su LineViper shellcode loader da instaliraju VPN za pristup svim konfiguracijskim elementima, uključujući administratorske kredencijale i sertifikate. Firestarter se održava aktivnim registrovanjem callback funkcija za signale prekida (SIGTERM, SIGHUP), što omogućava automatsko pokretanje čak i posle ažuriranja firmware-a. Malver koristi 'time stomping' tehniku i preusmereava greške u /dev/null kako bi ostao nevidljiv standardnim alatima. Grupa nazvana UAT-4356 (poznata i kao Storm-1849) stoji iza ove kampanje, dela napada ArcaneDoor koji traje od 2023.
Preporuka Sajber Radara
Ovo nije situacija gde će samo instalacija ispravke rešiti problem - Firestarter zahteva hardversku intervenciju (prekid struje) i strogo praćenje. Ako koristite Cisco zaštinike, odmah proverite zaraženi status i ne odlažite obaveznu hladnu restartovanje ako je potrebno.
