Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Откриен FIRESTARTER бекдор на Cisco Firepower – опстојува и по безбедносни ажурирања

Објавено: 27.04.2026

Американската Агенција за сајбер-безбедност и инфраструктурна безбедност (CISA) откри дека непозната федерална цивилна агенција била компромитирана во септември 2025 година преку Cisco Firepower уред што работи со Adaptive Security Appliance (ASA) софтвер, со нов малвер наречен FIRESTARTER.

FIRESTARTER, според CISA и британскиот National Cyber Security Centre (NCSC), е проценет како бекдор дизајниран за далечински пристап и контрола. Се смета дека е дел од „широка“ кампања спроведена од напреден перзистентен заканувач (APT), со цел да се добие пристап до Cisco ASA firmware преку експлоатација на веќе закрпени безбедносни пропусти како:

  • CVE-2025-20333 (CVSS 9.9) – неправилна валидација на кориснички внес што може да дозволи автентициран далечински напаѓач со VPN креденцијали да извршува произволен код како root преку специјално направени HTTP барања.
  • CVE-2025-20362 (CVSS 6.5) – неправилна валидација на кориснички внес што може да дозволи неавтентициран далечински напаѓач да пристапи до ограничени URL endpoints без автентикација.

„FIRESTARTER може да остане активна закана на Cisco уреди со ASA или Firepower Threat Defense (FTD) софтвер, одржувајќи перзистентност дури и по закрпување и овозможувајќи повторен пристап без повторна експлоатација,“ соопштија агенциите.

Во истражениот инцидент, напаѓачите користеле пост-експлоатациски алат наречен LINE VIPER, кој може да извршува CLI команди, да прави packet capture, да го заобиколи VPN AAA системот, да сокрива syslog пораки, да собира кориснички команди и да присилува одложено рестартирање. Овој алат овозможил инсталација на FIRESTARTER и долгорочен пристап до уредот, вклучително и повторен пристап месеци подоцна.

FIRESTARTER е Linux ELF бинарен фајл кој може да воспостави перзистентност и да преживее firmware ажурирања и рестартирања, освен целосно исклучување на напојување. Малверот се вградува во boot секвенцата со манипулација на startup mount листата, што му овозможува автоматско активирање при секое нормално рестартирање. Оваа отпорност покажува сличности со претходно познат bootkit наречен RayInitiator.

„FIRESTARTER се обидува да инсталира hook – механизам за пресретнување и менување на нормалните операции – во LINA, основниот engine на уредот за мрежна обработка и безбедносни функции,“ се наведува во извештајот. „Овој hook овозможува извршување на произволен shell код од APT операторите, вклучително и распоредување на LINE VIPER.“

„Иако Cisco закрпите ги поправија CVE-2025-20333 и CVE-2025-20362, уредите што биле компромитирани пред закрпувањето можат да останат заразени бидејќи FIRESTARTER не се отстранува со firmware ажурирање.“

Cisco, која ја следи оваа активност под името UAT4356 (Storm-1849), го опишува FIRESTARTER како бекдор кој овозможува извршување на shellcode преку LINA процесот со специјално направени WebVPN барања што содржат „магичен пакет“.

Иако точниот извор на напаѓачите не е познат, анализа од Censys во 2024 година укажала на можна поврзаност со Кина. UAT4356 првпат бил поврзан со кампањата ArcaneDoor, која користела zero-day пропусти во Cisco опрема за дистрибуција на специјализиран малвер за следење мрежен сообраќај и извидување.

„За целосно отстранување на перзистентниот механизам, Cisco препорачува реинсталација (reimage) и надградба на уредот со безбедни верзии,“ соопшти компанијата. „Во случаи на потврдена компромитација, сите конфигурациски елементи на уредот треба да се сметаат за недоверливи.“

Како привремена мерка, Cisco препорачува „cold restart“ за отстранување на FIRESTARTER имплантот. Командите shutdown, reboot и reload не се доволни — потребно е физичко исклучување од напојување (вадење и повторно приклучување на кабелот).

Кинески хакери преминуваат од индивидуално набавена инфраструктура кон скриени мрежи

Објавата доаѓа откако САД, Обединетото Кралство и повеќе меѓународни партнери издадоа заедничко предупредување за големи мрежи од компромитирани SOHO рутери и IoT уреди, кои ги користат напаѓачи поврзани со Кина за прикривање на шпионски активности и отежнување на атрибуцијата.

Државно спонзорирани групи како Volt Typhoon и Flax Typhoon користат вакви ботнети, составени од домашни рутери, безбедносни камери, видео-рекордери и други IoT уреди, за таргетирање на критична инфраструктура и спроведување сајбер-шпионажа на „евтин, низок ризик и тешко докажлив“ начин, според предупредувањето.

Проблемот дополнително се комплицира затоа што овие мрежи постојано се ажурираат, а повеќе различни кинески поврзани групи можат истовремено да користат ист ботнет, што го отежнува откривањето и блокирањето преку статични IP листи.

„Скриените мрежи главно се составени од компромитирани SOHO рутери, но вклучуваат и било кој ранлив уред што може да се искористи на голема скала,“ наведуваат агенциите. „Сообраќајот се пренасочува низ повеќе компромитирани уреди, кои служат како транзитни јазли, пред да излезе од мрежата преку излезен јазол, најчесто во ист географски регион како целта.“

Овие наоди ја истакнуваат честа шема кај државно спонзорирани напади: таргетирање на мрежни периферни уреди во домашни, корпоративни и владини мрежи со цел да се претворат во прокси јазли или да се прислушкува чувствителен сообраќај и комуникации.

Сергеј Шикевич, менаџер за разузнавање за закани во Check Point Software, изјави дека активностите поврзани со Кина во 2025 година ги користат edge и perimeter уредите како главен начин за добивање пристап, бидејќи тие се надвор од endpoint и identity безбедносните контроли, ретко се ажурираат и овозможуваат долготраен, тешко забележлив пристап до компромитирани средини.

„Нашите истражувања за активности поврзани со Кина во 2026 година – вклучувајќи Silver Dragon, кој таргетира владини организации во Европа и Југоисточна Азија, и Operation TrueChaos, која злоупотребува доверлив канал за ажурирање софтвер за да дистрибуира малвер – ја следат истата логика: користење легитимна инфраструктура и доверливи канали за да се направи злонамерната активност невидлива,“ додаде Шикевич.

„Наодот дека повеќе групи истовремено управуваат и понекогаш делат исти мрежи укажува на ниво на оперативна зрелост што треба да загрижува секоја организација што работи со критична инфраструктура или владини системи. Одговорот не може да биде само детекција. Кога злонамерниот сообраќај ќе биде откриен во компромитиран уред, напаѓачот често веќе е присутен со недели или месеци. Заштитата мора да се прошири на секој дел од мрежната инфраструктура, вклучувајќи ги и најзапоставените компоненти.“

Извори:

  • The Hacker News – FIRESTARTER Backdoor Hit Federal Cisco Firepower Device, Survives Security Patches The Hacker News