📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) revelou que um dispositivo Cisco Firepower de uma agência civil federal não identificada executando o software Adaptive Security Appliance (ASA) foi comprometido em setembro de 2025 com um malware chamado FIRESTARTER.
O FIRESTARTER, de acordo com a CISA e o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido, é avaliado como um backdoor projetado para acesso e controle remotos. Acredita-se que ele seja implantado como parte de uma campanha "generalizada" orquestrada por um ator de ameaça persistente avançada (APT) para obter acesso ao firmware do Cisco Adaptive Security Appliance (ASA), explorando falhas de segurança agora corrigidas, como -
CVE-2025-20333 (pontuação CVSS: 9,9) – Uma validação inadequada de vulnerabilidade de entrada fornecida pelo usuário que pode permitir que um invasor remoto autenticado com credenciais de usuário VPN válidas execute código arbitrário como root em um dispositivo afetado, enviando solicitações HTTP criadas.
CVE-2025-20362 (pontuação CVSS: 6,5) – Uma validação inadequada de vulnerabilidade de entrada fornecida pelo usuário que pode permitir que um invasor remoto não autenticado acesse endpoints de URL restritos sem autenticação, enviando solicitações HTTP criadas.
“O FIRESTARTER pode persistir como uma ameaça ativa em dispositivos Cisco que executam software ASA ou Firepower Threat Defense (FTD), mantendo a persistência pós-correção e permitindo que os atores da ameaça acessem novamente os dispositivos comprometidos sem reexplorar as vulnerabilidades”, disseram as agências.
No incidente investigado, descobriu-se que os atores da ameaça implantaram um kit de ferramentas pós-exploração chamado LINE VIPER que pode executar comandos CLI, realizar capturas de pacotes, ignorar autenticação, autorização e contabilidade VPN (AAA) para dispositivos de ator, suprimir mensagens syslog, coletar comandos CLI do usuário e forçar uma reinicialização atrasada.
O acesso elevado oferecido pelo LINE VIPER serviu como um canal para o FIRESTARTER, que foi implantado no dispositivo Firepower antes de 25 de setembro de 2025, permitindo que os atores da ameaça mantivessem o acesso contínuo e retornassem ao dispositivo comprometido no mês passado.
Um binário Linux ELF, FIRESTARTER pode configurar a persistência no dispositivo e sobreviver a atualizações de firmware e reinicializações de dispositivos, a menos que ocorra um ciclo de energia rígido. O malware se aloja na sequência de inicialização do dispositivo, manipulando uma lista de montagem de inicialização, garantindo que ele seja reativado automaticamente sempre que o dispositivo for reinicializado normalmente. Deixando de lado a resiliência, ele também compartilha algum nível de sobreposição com um bootkit previamente documentado conhecido como RayInitiator.
“O FIRESTARTER tenta instalar um gancho – uma forma de interceptar e modificar operações normais – dentro do LINA, o mecanismo principal do dispositivo para processamento de rede e funções de segurança”, de acordo com o comunicado. "Este gancho permite a execução de código shell arbitrário fornecido pelos atores do APT, incluindo a implantação do LINE VIPER."
"Embora os patches da Cisco abordem CVE-2025-20333 e CVE-2025-20362, os dispositivos comprometidos antes do patch podem permanecer vulneráveis porque o FIRESTARTER não é removido pelas atualizações de firmware."
A Cisco, que está rastreando a atividade de exploração associada às duas vulnerabilidades sob o apelido UAT4356 (também conhecido como Storm-1849), descreveu o FIRESTARTER como um backdoor que facilita a execução de shellcode arbitrário recebido pelo processo LINA, analisando solicitações de autenticação WebVPN especialmente criadas contendo um “pacote mágico”.
As origens exatas da atividade de ameaça não são conhecidas, embora uma análise da plataforma de gestão de superfície de ataque Censys, em maio de 2024, sugerisse ligações à China. O UAT4356 foi atribuído pela primeira vez a uma campanha chamada ArcaneDoor que explorou duas falhas de dia zero nos equipamentos de rede da Cisco para fornecer malware personalizado capaz de capturar tráfego de rede e reconhecimento.
“Para remover totalmente o mecanismo de persistência, a Cisco recomenda fortemente a recriação e atualização do dispositivo”, disse a Cisco. "Em casos de comprometimento confirmado em qualquer plataforma Cisco Secure ASA ou FTD, todos os elementos de configuração do dispositivo devem ser considerados não confiáveis."
Como mitigações até que a nova imagem possa ser realizada, a empresa recomenda que os clientes realizem uma reinicialização a frio para remover o implante FIRESTARTER. “Os comandos CLI de desligar, reiniciar e recarregar não limparão o implante persistente malicioso, o cabo de alimentação deve ser retirado e reconectado ao dispositivo”, acrescentou.
Hackers chineses mudam de infraestrutura adquirida individualmente para redes secretas
A divulgação ocorre no momento em que os EUA, o Reino Unido e vários parceiros internacionais divulgam um comunicado conjunto sobre redes em grande escala de roteadores SOHO comprometidos e dispositivos IoT confiscados por atores de ameaças do nexo da China para disfarçar seus ataques de espionagem e complicar os esforços de atribuição.
Grupos patrocinados pelo Estado, como Volt Typhoon e Flax Typhoon, têm usado essas botnets, que consistem em botnets domésticos.
O FIRESTARTER, de acordo com a CISA e o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido, é avaliado como um backdoor projetado para acesso e controle remotos. Acredita-se que ele seja implantado como parte de uma campanha "generalizada" orquestrada por um ator de ameaça persistente avançada (APT) para obter acesso ao firmware do Cisco Adaptive Security Appliance (ASA), explorando falhas de segurança agora corrigidas, como -
CVE-2025-20333 (pontuação CVSS: 9,9) – Uma validação inadequada de vulnerabilidade de entrada fornecida pelo usuário que pode permitir que um invasor remoto autenticado com credenciais de usuário VPN válidas execute código arbitrário como root em um dispositivo afetado, enviando solicitações HTTP criadas.
CVE-2025-20362 (pontuação CVSS: 6,5) – Uma validação inadequada de vulnerabilidade de entrada fornecida pelo usuário que pode permitir que um invasor remoto não autenticado acesse endpoints de URL restritos sem autenticação, enviando solicitações HTTP criadas.
“O FIRESTARTER pode persistir como uma ameaça ativa em dispositivos Cisco que executam software ASA ou Firepower Threat Defense (FTD), mantendo a persistência pós-correção e permitindo que os atores da ameaça acessem novamente os dispositivos comprometidos sem reexplorar as vulnerabilidades”, disseram as agências.
No incidente investigado, descobriu-se que os atores da ameaça implantaram um kit de ferramentas pós-exploração chamado LINE VIPER que pode executar comandos CLI, realizar capturas de pacotes, ignorar autenticação, autorização e contabilidade VPN (AAA) para dispositivos de ator, suprimir mensagens syslog, coletar comandos CLI do usuário e forçar uma reinicialização atrasada.
O acesso elevado oferecido pelo LINE VIPER serviu como um canal para o FIRESTARTER, que foi implantado no dispositivo Firepower antes de 25 de setembro de 2025, permitindo que os atores da ameaça mantivessem o acesso contínuo e retornassem ao dispositivo comprometido no mês passado.
Um binário Linux ELF, FIRESTARTER pode configurar a persistência no dispositivo e sobreviver a atualizações de firmware e reinicializações de dispositivos, a menos que ocorra um ciclo de energia rígido. O malware se aloja na sequência de inicialização do dispositivo, manipulando uma lista de montagem de inicialização, garantindo que ele seja reativado automaticamente sempre que o dispositivo for reinicializado normalmente. Deixando de lado a resiliência, ele também compartilha algum nível de sobreposição com um bootkit previamente documentado conhecido como RayInitiator.
“O FIRESTARTER tenta instalar um gancho – uma forma de interceptar e modificar operações normais – dentro do LINA, o mecanismo principal do dispositivo para processamento de rede e funções de segurança”, de acordo com o comunicado. "Este gancho permite a execução de código shell arbitrário fornecido pelos atores do APT, incluindo a implantação do LINE VIPER."
"Embora os patches da Cisco abordem CVE-2025-20333 e CVE-2025-20362, os dispositivos comprometidos antes do patch podem permanecer vulneráveis porque o FIRESTARTER não é removido pelas atualizações de firmware."
A Cisco, que está rastreando a atividade de exploração associada às duas vulnerabilidades sob o apelido UAT4356 (também conhecido como Storm-1849), descreveu o FIRESTARTER como um backdoor que facilita a execução de shellcode arbitrário recebido pelo processo LINA, analisando solicitações de autenticação WebVPN especialmente criadas contendo um “pacote mágico”.
As origens exatas da atividade de ameaça não são conhecidas, embora uma análise da plataforma de gestão de superfície de ataque Censys, em maio de 2024, sugerisse ligações à China. O UAT4356 foi atribuído pela primeira vez a uma campanha chamada ArcaneDoor que explorou duas falhas de dia zero nos equipamentos de rede da Cisco para fornecer malware personalizado capaz de capturar tráfego de rede e reconhecimento.
“Para remover totalmente o mecanismo de persistência, a Cisco recomenda fortemente a recriação e atualização do dispositivo”, disse a Cisco. "Em casos de comprometimento confirmado em qualquer plataforma Cisco Secure ASA ou FTD, todos os elementos de configuração do dispositivo devem ser considerados não confiáveis."
Como mitigações até que a nova imagem possa ser realizada, a empresa recomenda que os clientes realizem uma reinicialização a frio para remover o implante FIRESTARTER. “Os comandos CLI de desligar, reiniciar e recarregar não limparão o implante persistente malicioso, o cabo de alimentação deve ser retirado e reconectado ao dispositivo”, acrescentou.
Hackers chineses mudam de infraestrutura adquirida individualmente para redes secretas
A divulgação ocorre no momento em que os EUA, o Reino Unido e vários parceiros internacionais divulgam um comunicado conjunto sobre redes em grande escala de roteadores SOHO comprometidos e dispositivos IoT confiscados por atores de ameaças do nexo da China para disfarçar seus ataques de espionagem e complicar os esforços de atribuição.
Grupos patrocinados pelo Estado, como Volt Typhoon e Flax Typhoon, têm usado essas botnets, que consistem em botnets domésticos.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #firestarter #backdoor #atinge #dispositivo #federal #cisco #firepower #e #sobrevive #a #patches #de #segurança
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário