Спецслужбы США и Великобритании Для просмотра ссылки Войди или Зарегистрируйся о малвари Firestarter, которая закрепляется на устройствах Cisco Firepower и Secure Firewall с софтом Adaptive Security Appliance (ASA) или Firepower Threat Defense (FTD) и не удаляется ни после установки патчей, ни после обновления прошивки.
Бэкдор Firestarter связывают с хакерской группировкой UAT-4356, которую специалисты Cisco Talos Для просмотра ссылки Войдиили Зарегистрируйся
под именем ArcaneDoor.
По данным Агентства по кибербезопасности и защите инфраструктуры США (CISA) и Национального центра кибербезопасности Великобритании (NCSC), для первоначального проникновения атакующие эксплуатировали две уязвимости: проблему отсутствия авторизации (CVE-2025-20333) и переполнение буфера (CVE-2025-20362).
Сообщается, что с помощью Firestarter было скомпрометировано как минимум одно неназванное федеральное ведомство в США. Специалисты CISA полагают, что взлом произошел еще в начале сентября 2025 года, когда в пострадавшем ведомстве еще не установили патчи для упомянутых выше багов.
Сначала злоумышленники доставили на устройство малварь Line Viper, шелкод-загрузчик для пользовательского пространства, который позволял запускать VPN-сессии и получать доступ к конфигурации, включая административные учетные данные, сертификаты и приватные ключи. Затем на устройстве разворачивался сам Firestarter в виде ELF-бинарника, обеспечивающего постоянный удаленный доступ.
Главной особенностью Firestarter исследователи называют живучесть. Малварь сохраняется в системе даже после перезагрузок, обновлений прошивки и установки патчей, а если процесс завершается — автоматически перезапускается.
Для закрепления на устройствах бэкдор перехватывает вызовы LINA (ключевой процесс Cisco ASA) и использует обработчики сигналов, которые запускают переустановку при получении сигнала завершения.
Firestarter модифицирует загрузочный файл CSP_MOUNT_LIST, чтобы запускаться при старте системы, хранит свою копию в /opt/cisco/platform/logs/var/log/svc_samcore.log, а при необходимости восстанавливает ее в /usr/bin/lina_cs, где работает в фоновом режиме.
Ключевая функция бэкдора — предоставление удаленного доступа с возможностью исполнения произвольного шелкода для своих операторов. Firestarter модифицирует XML-обработчик в LINA и внедряет шелкод в память. Триггером служит специально сформированный WebVPN-запрос: после валидации жестко закодированного идентификатора малварь загружает и выполняет полезную нагрузку прямо в памяти.
Разработчики Cisco Для просмотра ссылки Войдиили Зарегистрируйся рекомендации по устранению угрозы и настоятельно советуют полностью перезалить прошивку с нуля (reimage) и установить обновления на устройство.
Проверить устройство на признаки компрометации можно командой show kernel process | include lina_cs — любой вывод указывает на заражение. В свою очередь представители CISA уже опубликовали два Для просмотра ссылки Войдиили Зарегистрируйся для обнаружения бэкдора в образах дисков и дампах памяти.
Если перепрошивка невозможна, холодная перезагрузка (с физическим отключением питания) тоже поможет удалить малварь, однако этот метод чреват повреждением базы данных и проблемами с загрузкой.
Для просмотра ссылки Войдиили Зарегистрируйся
Бэкдор Firestarter связывают с хакерской группировкой UAT-4356, которую специалисты Cisco Talos Для просмотра ссылки Войди
под именем ArcaneDoor.
По данным Агентства по кибербезопасности и защите инфраструктуры США (CISA) и Национального центра кибербезопасности Великобритании (NCSC), для первоначального проникновения атакующие эксплуатировали две уязвимости: проблему отсутствия авторизации (CVE-2025-20333) и переполнение буфера (CVE-2025-20362).
Сообщается, что с помощью Firestarter было скомпрометировано как минимум одно неназванное федеральное ведомство в США. Специалисты CISA полагают, что взлом произошел еще в начале сентября 2025 года, когда в пострадавшем ведомстве еще не установили патчи для упомянутых выше багов.
Сначала злоумышленники доставили на устройство малварь Line Viper, шелкод-загрузчик для пользовательского пространства, который позволял запускать VPN-сессии и получать доступ к конфигурации, включая административные учетные данные, сертификаты и приватные ключи. Затем на устройстве разворачивался сам Firestarter в виде ELF-бинарника, обеспечивающего постоянный удаленный доступ.
Главной особенностью Firestarter исследователи называют живучесть. Малварь сохраняется в системе даже после перезагрузок, обновлений прошивки и установки патчей, а если процесс завершается — автоматически перезапускается.
Для закрепления на устройствах бэкдор перехватывает вызовы LINA (ключевой процесс Cisco ASA) и использует обработчики сигналов, которые запускают переустановку при получении сигнала завершения.
Firestarter модифицирует загрузочный файл CSP_MOUNT_LIST, чтобы запускаться при старте системы, хранит свою копию в /opt/cisco/platform/logs/var/log/svc_samcore.log, а при необходимости восстанавливает ее в /usr/bin/lina_cs, где работает в фоновом режиме.
Ключевая функция бэкдора — предоставление удаленного доступа с возможностью исполнения произвольного шелкода для своих операторов. Firestarter модифицирует XML-обработчик в LINA и внедряет шелкод в память. Триггером служит специально сформированный WebVPN-запрос: после валидации жестко закодированного идентификатора малварь загружает и выполняет полезную нагрузку прямо в памяти.
Разработчики Cisco Для просмотра ссылки Войди
Проверить устройство на признаки компрометации можно командой show kernel process | include lina_cs — любой вывод указывает на заражение. В свою очередь представители CISA уже опубликовали два Для просмотра ссылки Войди
Если перепрошивка невозможна, холодная перезагрузка (с физическим отключением питания) тоже поможет удалить малварь, однако этот метод чреват повреждением базы данных и проблемами с загрузкой.
Для просмотра ссылки Войди
