Zaraženi Cisco firewall uređaji traže hladni start za uklanjanje Firestartera
CSO Online piše da CISA i britanski NCSC upozoravaju administratore na Firestarter backdoor koji može da opstane na kompromitovanim Cisco firewall uređajima čak i posle patchovanja i običnog reboot-a. Pogođeni su uređaji koji koriste Cisco ASA ili Firepower softver, uključujući određene Firepower i Secure Firewall modele, a CISA je uspešan implant do sada videla na Cisco Firepower uređaju sa ASA softverom. Napadači su ranije zloupotrebili ranjivosti CVE-2025-20333 i CVE-2025-20362, postavili LineViper loader, a zatim Firestarter backdoor za komunikaciju sa command-and-control infrastrukturom. Ako se kompromitacija potvrdi, preporuka je da se uređaj fizički isključi iz svih izvora napajanja, uključujući redundantno napajanje, najmanje jedan minut, jer obično gašenje ili restart nisu dovoljni.
Kod mrežnih bezbednosnih uređaja patch zatvara vrata za novi ulazak, ali ne mora da izbaci napadača koji je već unutra. Firestarter je opasan upravo zato što razbija naviku da se problem smatra rešenim čim se instalira zakrpa i uređaj restartuje.
- Proveriti Cisco ASA, Firepower i Secure Firewall uređaje prema najnovijim CISA, NCSC i Cisco Talos uputstvima
- Pokrenuti preporučene YARA provere nad core dump-om ili disk image-om uređaja
- Ako se potvrdi kompromitacija, fizički isključiti uređaj iz svih izvora napajanja najmanje jedan minut
- Ne tretirati običan reboot ili firmware update kao dovoljnu meru uklanjanja backdoor-a
- Pregledati administratorske naloge, sertifikate, privatne ključeve i VPN konfiguracije na pogođenim uređajima