Americké a britské agentury pro kybernetickou bezpečnost varují před škodlivým softwarem zvaným Firestarter, který se zabydluje na zařízeních Cisco Firepower a Secure Firewall provozujících software Adaptive Security Appliance (ASA) nebo Firepower Threat Defense (FTD).
Tento backdoor byl přisouzen aktérovi hrozeb pod označením UAT-4356, skupině známé kyberšpionážními kampaněmi, včetně operace ArcaneDoor.
Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) a britské Národní centrum kybernetické bezpečnosti (NCSC) se domnívají, že útočník získal počáteční přístup zneužitím chybějící autorizace (CVE-2025-20333) a/nebo přetečení vyrovnávací paměti (CVE-2025-20362).
V jednom incidentu na federální civilní výkonné agentuře CISA zaznamenala, že útočník nejprve nasadil malware Line Viper – shellcode loader běžící v uživatelském prostoru – a poté využil Firestarter, který mu zajišťuje trvalý přístup i po aplikování záplat.
„CISA nepotvrdila přesné datum prvního zneužití, ale odhaduje, že ke kompromitaci došlo na začátku září 2025, tedy ještě předtím, než agentura implementovala záplaty v souladu s direktivou ED 25-03,“ uvádí agentura ve svém upozornění.
Line Viper slouží k navazování VPN relací a získávání veškerých konfiguračních detailů, včetně přihlašovacích údajů administrátora, certifikátů a soukromých klíčů na kompromitovaných zařízeních Firepower.
Následně je pro zajištění persistence nasazen binární soubor ELF backdooru Firestarter, který útočníkovi umožňuje opětovný přístup kdykoli je to potřeba.
Jakmile se Firestarter na zařízeních usadí, udržuje svou přítomnost i po restartech, aktualizacích firmwaru a instalaci bezpečnostních záplat. Backdoor se navíc automaticky znovu spustí, pokud je ukončen.
Perzistence je zajištěna napojením na LINA, klíčový proces Cisco ASA, a využitím obslužných rutin signálů, které spouštějí rutiny přeinstalace.
Společná zpráva o analýze malwaru od obou kybernetických agentur vysvětluje, že Firestarter upravuje soubor CSP_MOUNT_LIST pro spouštění při startu systému, ukládá svou kopii do adresáře /opt/cisco/platform/logs/var/log/svc_samcore.log a obnovuje ji do /usr/bin/lina_cs, kde běží na pozadí.
Hlavní funkcí implantátu je působit jako backdoor pro vzdálený přístup, přičemž dokáže také spouštět shellcode dodaný útočníkem.
Děje se tak prostřednictvím mechanismu, v němž se Firestarter napojuje na LINA úpravou XML handleru a vkládáním shellcodu do paměti, čímž vytváří řízený vykonávací řetězec.
Tento shellcode je spuštěn speciálně vytvořeným požadavkem WebVPN, který po ověření napevno zakódovaného identifikátoru načte a přímo v paměti spustí útočníkem dodané payloady.
CISA nicméně neposkytla žádné podrobnosti o konkrétních payloadech, které byly při útocích zaznamenány.
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
