Хакерская группировка UAT-4356 активно эксплуатирует известные уязвимости в межсетевых экранах Cisco Firepower для внедрения кастомного бэкдора, который позволяет удалённо выполнять команды на скомпрометированном оборудовании. Специалисты компании Cisco Talos опубликовали 23 апреля 2026 года предупреждение об этой угрозе, и речь идёт не о новейших уязвимостях "нулевого дня", а о тех, производитель уже исправил. Однако на многих устройствах патчи так и не установили, что и позволило атакующим действовать без каких-либо сложных подготовительных этапов.
Детали уязвимостей
Группировка UAT-4356, которую исследователи ранее связывали с кампанией шпионажа ArcaneDoor, выявленной в начале 2024 года, нацелилась на устройства под управлением операционной системы Firepower eXtensible Operating System (FXOS) - это проприетарная платформа Cisco, используемая в её межсетевых экранах. Злоумышленники применили две уязвимости: CVE-2025-20333 (идентификатор уязвимости) и CVE-2025-20362. Первая из них позволяет аутентифицированному злоумышленнику выполнить произвольный код на устройстве с правами root из-за ошибки проверки входных данных HTTP-запросов, что приводит к переполнению буфера. Критическая оценка по шкале CVSS (система оценки критичности уязвимостей) составляет 9,9 балла из десяти. Вторая уязвимость менее опасна - 6,5 балла, - но она позволяет неавторизованному удалённому атакующему получить доступ к защищённым URL-адресам, связанным с удалённым доступом VPN (сервис создания защищённого туннеля в публичную сеть), которые в обычных условиях недоступны без аутентификации.
Важно отметить, что обе уязвимости были раскрыты и исправлены компанией Cisco ещё 25 сентября 2025 года. Однако, как показывает практика, многие организации не торопятся устанавливать обновления программного обеспечения - либо из-за боязни нарушить работу бизнес-критичных систем, либо из-за отсутствия централизованного управления патчами. Именно это промедление и стало решающим фактором: UAT-4356 не пришлось разрабатывать эксплойты для неизвестных уязвимостей, достаточно было вооружиться уже существующими инструментами для систем, которые остались без обновлений.
После того как злоумышленники получали доступ к устройству, они внедряли в него сложный имплант под названием FIRESTARTER. Этот бэкдор работает на уровне памяти, внедряя вредоносный код прямо в процесс LINA - ключевой компонент, отвечающий за обработку трафика в устройствах Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). Механизм действия довольно изящен: FIRESTARTER заменяет одну из легитимных функций обработчика WebVPN (интерфейс для доступа к VPN через веб-браузер) в памяти процесса LINA на вредоносную заглушку. Когда устройство получает специально сформированный WebVPN-запрос, содержащий определённые магические байты, встроенный shellcode (исполняемый код, внедрённый в память) выполняется без каких-либо следов. Любой обычный трафик, не содержащий этих байтов, обрабатывается штатным образом, что делает бэкдор практически невидимым для систем мониторинга.
Исследователи Talos отмечают, что FIRESTARTER демонстрирует значительное техническое сходство с кодом, используемым другой продвинутой группировкой RayInitiator. Это указывает на то, что за разработкой импланта либо стоят одни и те же люди, либо они обмениваются инструментарием. Между тем у UAT-4356 продуман и механизм закрепления в системе: бэкдор манипулирует конфигурацией CSP_MOUNT_LIST, которая управляет командами, выполняемыми при загрузке устройства. Благодаря этому вредоносное ПО выживает после перезагрузки - если, конечно, речь идёт о штатной перезагрузке. Если же устройство принудительно обесточить (физически отключить от питания), имплант исчезает, поскольку его механизм закрепления рассчитан только на программную перезагрузку.
Для администраторов, которые хотят проверить свои межсетевые экраны Firepower на наличие признаков компрометации, эксперты Cisco Talos подготовили конкретные индикаторы. Подозрительные файлы могут находиться по путям /usr/bin/lina_cs или /opt/cisco/platform/logs/var/log/svc_samcore.log. Также стоит выполнить команду show kernel process | include lina_cs - если процесс с таким именем активен, это серьёзный повод для беспокойства. Для антивирусной проверки рекомендуется сигнатура ClamAV (антивирусное ПО) Unix.Malware.Generic-10059965-0, а системы обнаружения вторжений могут быть настроены на правила Snort (система предотвращения вторжений) под номерами 62949, 65340 и 46897, которые покрывают как сам FIRESTARTER, так и использованные уязвимости.
К сожалению, это не единичный случай. В ноябре 2025 года Cisco обнаружила новую вариацию атаки, которая может вызывать перезагрузку незапатченных устройств, приводя к отказу в обслуживании. Компания настоятельно рекомендует всем клиентам установить последние версии программного обеспечения, перечисленные в официальном бюллетене безопасности. Если устройство уже скомпрометировано, его необходимо переустановить с нуля либо, для систем без режима блокировки, завершить процесс lina_cs и выполнить перезагрузку.
Дополнительно агентство CISA выпустило директиву ED 25-03, содержащую рекомендации по восстановлению для федеральных и корпоративных сетей. Тот факт, что UAT-4356 действует как минимум с 2024 года и продолжает использовать уже закрытые уязвимости, говорит о том, что главной проблемой остаётся не отсутствие обновлений как таковых, а скорость их внедрения в реальных корпоративных средах. Атакующие берут не изощрённостью, а терпением и пониманием того, что многие организации годами игнорируют критические патчи.
Ссылки
- https://blog.talosintelligence.com/uat-4356-firestarter/
- https://www.cve.org/CVERecord?id=CVE-2025-20333
- https://www.cve.org/CVERecord?id=CVE-2025-20362
