FIRESTARTER backdoor kompromitovao Cisco Firepower uređaj američke agencije
CISA je objavila da je Cisco Firepower uređaj jedne američke federalne civilne agencije, koji je koristio ASA softver, kompromitovan malwareom FIRESTARTER još u septembru 2025. Napad je povezan sa zloupotrebom zakrpljenih Cisco ranjivosti CVE-2025-20333 i CVE-2025-20362, a napadači su koristili LINE VIPER alat za izvršavanje komandi, zaobilaženje VPN AAA kontrole, prikrivanje logova i prikupljanje podataka sa uređaja. FIRESTARTER omogućava udaljeni pristup i može da preživi patchovanje, firmware update i običan reboot, jer se zadržava kroz boot sekvencu uređaja. Cisco preporučuje reimage i nadogradnju na ispravljene verzije, a kao privremenu meru cold restart, odnosno fizičko isključivanje uređaja iz napajanja.
Kod perimeter uređaja opasnost je u tome što stoje na ulazu u mrežu, a često nisu pokriveni istim nivoom detekcije kao serveri i endpoint-i. Ako je uređaj već kompromitovan, patch zatvara ranjivost, ali ne uklanja nužno backdoor koji napadaču omogućava povratak bez nove eksploatacije.
- Proveriti Cisco ASA, FTD, Firepower i Secure Firewall uređaje prema CISA, NCSC i Cisco uputstvima
- Kod potvrđene kompromitacije uraditi reimage uređaja i nadogradnju na ispravljenu verziju softvera
- Ne oslanjati se na običan reboot ili firmware update kao meru uklanjanja FIRESTARTER implant-a
- Privremeno izvršiti cold restart fizičkim isključivanjem uređaja iz svih izvora napajanja, uključujući redundantno napajanje
- Smatrati konfiguraciju, administratorske kredencijale, sertifikate i privatne ključeve kompromitovanog uređaja nepouzdanim