Firestarter backdoor može da preživi zakrpe na Cisco uređajima
Američke i britanske vlasti upozorile su na Firestarter backdoor malware koji je korišćen u kampanji protiv ranjivih Cisco Firepower i Secure Firewall uređaja. CISA je malware otkrila tokom forenzičke istrage u jednoj američkoj federalnoj civilnoj agenciji, gde su pronađene sumnjive konekcije na Firepower uređaju koji koristi Adaptive Security Appliance softver. Napadači su zloupotrebili kritične ranjivosti CVE-2025-20333 i CVE-2025-20362, postavili Line Viper implant i koristili Firestarter za održavanje prisustva na uređaju. Posebno je problematično to što se prisustvo napadača može zadržati i posle primene zakrpa, ako se prethodno ne proveri kompromitacija uređaja.
Kod mrežnih i bezbednosnih uređaja patch nije uvek kraj priče. Ako je napadač već uspeo da postavi implant ili backdoor, ažuriranje softvera može zatvoriti ranjivost, ali ne mora ukloniti tragove kompromitacije ni mehanizam za povratak u sistem.
- Proveriti Cisco Firepower i Secure Firewall uređaje prema najnovijim CISA i Cisco uputstvima
- Primenu zakrpa pratiti proverom kompromitacije, a ne tretirati je kao dovoljnu meru
- Pregledati logove za sumnjive konekcije i neobične administrativne aktivnosti
- Izolovati i forenzički proveriti uređaje za koje postoji sumnja da su već bili dostupni napadačima
- Ograničiti administratorski pristup bezbednosnim uređajima samo na pouzdane mrežne segmente