Исследователи безопасности обнаружили зловещий бэкдор, нацеленный на межсетевые экраны Cisco System, который использует необновленные уязвимости для сохранения постоянного присутствия, даже после установки исправлений. Это означает, что злоумышленники могут продолжать получать доступ к скомпрометированным устройствам, не прибегая к повторной эксплуатации уязвимостей.
Под угрозой находятся устройства под управлением программного обеспечения Cisco ASA или Firepower, включая некоторые устройства Firepower и Secure Firewall. Однако на данный момент Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) зафиксировало успешную имплантацию вредоносного ПО, получившего название Firestarter, в реальных условиях только на устройстве Cisco Firepower под управлением ПО ASA.
В совместном предупреждении CISA и Национальное агентство по кибербезопасности Великобритании настоятельно призывают организации искать признаки компрометации. Для этого следует сгенерировать аварийный дамп (core dump) и использовать рекомендованные правила YARA для обнаружения вредоносного ПО Firestarter. Правила YARA также можно применять к образу диска.
В случае компрометации необходимо отключить устройство от всех источников питания, включая резервные, на одну минуту, затем снова подключить питание и перезагрузить.
«Недостаточно просто выключить или перезагрузить устройство», — говорится в совместном уведомлении. «Устройство должно быть полностью отключено от всех источников питания, включая дублирующие источники, созданные для резервирования».
Также сообщается, что заражение Firestarter можно устранить путем переустановки образа устройств (reimaging).
В отдельном уведомлении служба анализа угроз Talos от Cisco заявила, что за Firestarter стоит группа, которую они называют UAT-4356, в рамках продолжающихся атак на устройства Firepower. Другие исследователи называют эту группу Storm-1849 и идентифицируют кампанию, нацеленную на сетевые устройства от Cisco и других поставщиков, как ArcaneDoor, датируемую 2023 годом.
Критический провал в менталитете «установил патч и забыл»
CISA полагает, что злоумышленники скомпрометировали межсетевые экраны Cisco, используя уязвимости CVE-2025-20333 и/или CVE-2025-20362 еще в начале сентября прошлого года, до выпуска исправлений для закрытия этих брешей.
В проанализированном CISA примере хакер затем развернул загрузчик шелл-кода LineViper для установки VPN, которую злоумышленник мог использовать для доступа ко всем элементам конфигурации скомпрометированного устройства Firepower, включая административные учетные данные, сертификаты и закрытые ключи. Затем был добавлен бэкдор Firestarter, который использовался для связи с сервером команд и управления, что позволяло бэкдору сохранять свое присутствие даже после установки патчей. Все это произошло до выпуска исправлений для двух уязвимостей.
Firestarter достигает постоянства, обнаруживая сигналы завершения работы и перезапуская себя, что позволяет ему пережить обновления прошивки и перезагрузки устройства, если не происходит полное отключение питания.
«Вредоносное ПО Firestarter представляет собой критический провал в менталитете „установил патч и забыл“ в современной сетевой безопасности», — заявил ИТ-аналитик Роб Эндерл из Enderle Group.
«Что делает эту атаку особенно необычной, так это ее техническая устойчивость и возможности противодействия криминалистическому анализу», — сказал он. «Вредоносное ПО регистрирует функции обратного вызова для сигналов завершения, таких как SIGTERM или SIGHUP, что позволяет ему автоматически перезапускаться, если администратор пытается завершить процесс. Оно глубоко проникает в виртуальную память движка LINA, чтобы внедрить хуки в стандартную библиотеку C++, перехватывая запросы WebVPN для активации своего полезного действия. Используя „time stomping“ для маскировки своего присутствия в файлах и перенаправляя ошибки в /dev/null, оно остается практически невидимым для традиционных инструментов обнаружения».
Он подчеркнул совет CISA и Cisco о том, что для смягчения ущерба зараженное устройство должно быть физически отключено от всех источников питания, включая резервные, как минимум на одну минуту. Этот «холодный старт» очищает энергозависимую память, где находится вредоносное ПО, и нарушает его постоянство при загрузке.
Кроме того, по словам Эндерла, сетевые администраторы должны модернизировать административные средства управления, используя протокол TACACS+ (Terminal Access Controller Access-Control System) поверх TLS 1.3 для контроля доступа и аутентификации пользователей к сетевым устройствам, таким как маршрутизаторы, коммутаторы и межсетевые экраны.
Эндерл отметил, что TACACS+ обычно использует выделенный TCP-порт, поэтому правила брандмауэра потребуется обновить с учетом этого. Вероятно, устройствам Cisco потребуется исправление ISE 3.4 (или более позднее), чтобы гарантировать, что Identity Services Engine поддерживает этот протокол. Аналогичным образом, перед переходом на TACACS+ следует ознакомиться с рекомендациями других поставщиков, чтобы обеспечить совместимость.
Администраторы также должны строго проверять устаревшие учетные записи, которые, по его словам, часто являются путем наименьшего сопротивления для злоумышленников, чтобы предотвратить боковое перемещение.
Устройства Cisco, затронутые вредоносным ПО Firestarter, включают межсетевые экраны серий Firepower 1000, 2100, 4100, 9300, 1200, 3100 и 4200, а также серии Secure Firewall 1200, 3100 и 4200.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
