Агентство по кибербезопасности и защите инфраструктуры США (CISA) совместно с Национальным центром кибербезопасности Великобритании (NCSC) опубликовало анализ вредоносной программы FIRESTARTER, которая представляет собой серьёзную угрозу для владельцев сетевого оборудования Cisco. Речь идёт не просто об очередной уязвимости, а о сложном механизме закрепления в системе, который позволяет злоумышленникам возвращаться на скомпрометированное устройство даже после установки всех официальных обновлений прошивки.
Описание
Согласно документу CISA, вредоносная программа представляет собой бэкдор, то есть программу, предоставляющую удалённый доступ и управление взломанным устройством. Она нацелена на межсетевые экраны Cisco Firepower и Secure Firewall, работающие под управлением программного обеспечения Adaptive Security Appliance (ASA) или Firepower Threat Defense (FTD). Эксперты связывают появление FIRESTARTER с деятельностью групп, классифицируемых как APT (advanced persistent threat) - то есть сложных и хорошо финансируемых злоумышленников, работающих в интересах государств. Первоначальное проникновение в системы, как полагают аналитики, осуществлялось через эксплуатацию уязвимостей CVE-2025-20333 (проблема авторизации) и CVE-2025-20362 (переполнение буфера).
Ключевая особенность FIRESTARTER, которая вызывает наибольшую тревогу у специалистов, заключается в механизме её устойчивости. В отличие от типичных программ-вымогателей, которые действуют очевидно и агрессивно, данный бэкдор действует скрытно. Он способен переживать обновления прошивки, которые закрывают первоначальные уязвимости, используемые для взлома. Более того, вредоносная программа не удаляется при простой перезагрузке устройства. Единственный способ гарантированно избавиться от неё - это полное обесточивание оборудования, при котором устройство отключается от всех источников питания без корректного завершения работы. Это нестандартная и рискованная процедура, которая может привести к повреждению данных на дисках, но, по оценке CISA, только так можно прервать работу кода, сохраняющегося в энергозависимой памяти устройства.
Технический анализ показывает, что FIRESTARTER является исполняемым файлом для Linux (ELF). Размер и возможности модуля свидетельствуют о высоком уровне подготовки разработчиков. После запуска вредоносная программа копирует себя в память и устанавливает обработчики на сигналы завершения работы. Когда система пытается завершить процесс (например, при перезагрузке или остановке службы), FIRESTARTER перехватывает этот сигнал и запускает процедуру самовосстановления. Он восстанавливает свой исполняемый файл из специально замаскированного хранилища в журналах системы и запускает его заново. Фактически, злоумышленники создали программу, которую невозможно "убить" стандартными средствами операционной системы.
Особого внимания заслуживает техника взаимодействия с устройством. FIRESTARTER не просто висит в фоне в ожидании команд. Вредоносная программа внедряет свой код в рабочий процесс основного компонента межсетевого экрана - LINA (движок обработки трафика). Это достигается путём установки перехватчика (хука) в память процесса LINA. После этого злоумышленники могут отправлять на устройство специально сформированные запросы через службу WebVPN. Внутри этих легитимных с виду запросов спрятан уникальный идентификатор, который триггерит выполнение вредоносного кода. Для простого администратора такой трафик выглядит как обычная работа удалённых пользователей с VPN-порталом. Этот метод позволяет группам APT годами незаметно управлять взломанным межсетевым экраном, используя его как плацдарм для атак на внутреннюю сеть организации.
Последствия такой атаки могут быть катастрофическими. Межсетевой экран является критическим элементом защиты периметра. Получив над ним полный контроль, злоумышленники могут не только прослушивать весь проходящий трафик, но и маскировать свои действия в корпоративной сети, модифицировать политики безопасности и, что самое опасное, развёртывать дополнительное вредоносное ПО (в известном инциденте после FIRESTARTER использовался модуль LINE VIPER для кражи конфигураций и создания поддельных VPN-сессий). Для государственных учреждений и операторов критической инфраструктуры такой компромисс означает полную утрату контроля над одним из ключевых рубежей обороны.
В связи с высокой степенью угрозы CISA и NCSC выпустили чёткие рекомендации для разных категорий организаций. Федеральным гражданским ведомствам США предписано собрать дампы памяти (core dumps) с подозрительных устройств и немедленно отправить их в CISA для анализа с помощью специализированной платформы. Самостоятельно предпринимать какие-либо действия, включая перезагрузку или попытки удалить вредоносную программу, категорически запрещено, чтобы не уничтожить улики. Для всех остальных организаций, включая коммерческие структуры и госорганы Великобритании, разработаны наборы сигнатур YARA для обнаружения FIRESTARTER по снимкам памяти или образам дисков.
Вывод из этой новости однозначен: стандартные процедуры установки обновлений безопасности больше не гарантируют защиту. Если злоумышленник успел закрепиться в системе до установки патча, бэкдор может остаться незамеченным на годы. Организациям, использующим Cisco ASA и Firepower, необходимо провести внеочередной аудит безопасности, с особым вниманием к признакам необычной активности в службе WebVPN и к процессам, маскирующимся под системные компоненты (например, под файл lina_cs). Только сочетание анализа памяти, проверки целостности прошивки и строгий контроль за физическим доступом к оборудованию могут помочь выявить и обезвредить такую угрозу.
Индикаторы компрометации
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | rule CISA_261290_01 : FIRESTARTER backdoor captures_system_state_data cleans_traces_of_infection fingerprints_host persists_after_system_reboot { meta: author = "CISA Code & Media Analysis" incident = "261290" date = "2026-4-3" last_modified = "20260406_732" actor = "n/a" family = "n/a" capabilities = "captures-system-state-data cleans-traces-of-infection fingerprints-host persists-after-system-reboot" malware_type = "backdoor" tool_type = "unknown" description = "Detects CISCO Firepower FIRESTARTER injector samples" strings: $s1 = { 57 48 C1 EF 0C 48 C1 E7 0C BA 07 00 00 00 48 C7 C6 00 20 00 00 } $s2 = { 2f 6f 70 74 2f 63 69 73 63 6f 2f 70 6c 61 74 66 6f 72 6d 2f 6c 6f 67 73 2f 76 61 72 2f 6c 6f 67 2f } $s3 = { 2f 6f 70 74 2f 63 69 73 63 6f 2f 63 6f 6e 66 69 67 2f 70 6c 61 74 66 6f 72 6d 2f 72 6d 64 62 2f } $s4 = { 2f 76 61 72 2f 72 75 6e 2f 72 75 6e 6c 65 76 65 6c} $s5 = { 2f 70 72 6f 63 2f 25 73 2f 63 6f 6d 6d } $s6 = { 2f 70 72 6f 63 2f 25 64 2f 6d 61 70 73 } $s7 = { 2f 61 73 61 2f 62 69 6e 2f 6c 69 6e 61 } condition: 5 of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | rule CISA_261290_02 : FIRESTARTER_shellcode backdoor captures_system_state_data cleans_traces_of_infection fingerprints_host persists_after_system_reboot { meta: author = "CISA Code & Media Analysis" incident = "261290" date = "2026-4-3" last_modified = "20260406_732" actor = "n/a" family = "n/a" capabilities = "captures-system-state-data cleans-traces-of-infection fingerprints-host persists-after-system-reboot" malware_type = "backdoor" tool_type = "unknownk" description = "Detects CISCO Firepower FIRESTARTER_shellcode samples" strings: $1 = { 57 4C 8B 47 18 4D 85 C0 0F 84 C7 01 00 00 49 8B 38 48 85 FF } $2 = { 48 83 C6 08 4C 39 C6 0F 87 7A 01 00 00 4C 8B 0E } $3 = { 48 89 D7 4C 89 CE B9 D0 01 00 F3 A4 48 89 D7 57 48 C1 EF 0C 48 C1 E7 0C } $4 = { 0F 05 58 5F FF E0 90 90 } condition: 3 of them } |
