🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Agências de segurança cibernética nos EUA e no Reino Unido estão alertando sobre um malware personalizado chamado Firestarter que persiste em dispositivos Cisco Firepower e Secure Firewall que executam o software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD).
O backdoor foi atribuído a um agente de ameaça que o Cisco Talos rastreia internamente como UAT-4356, conhecido por campanhas de espionagem cibernética, incluindo ArcaneDoor.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) acreditam que o adversário obteve acesso inicial explorando um problema de autorização ausente (CVE-2025-20333) e/ou um bug de buffer overflow (CVE-2025-20362).
Em um incidente em uma agência do poder executivo civil federal, a CISA observou o agente da ameaça implantando primeiro o malware Line Viper, um carregador de shellcode em modo de usuário, e depois usando o Firestarter, que permite acesso contínuo mesmo após a correção.
“A CISA não confirmou a data exata da exploração inicial, mas avalia o comprometimento ocorrido no início de setembro de 2025, e antes de a agência implementar patches de acordo com ED 25-03”, observa a agência em alerta.
O Line Viper é usado para estabelecer sessões VPN e acessar todos os detalhes de configuração, incluindo credenciais administrativas, certificados e chaves privadas em dispositivos Firepower comprometidos.
Em seguida, o binário ELF para o backdoor do Firestarter é implantado para persistência, permitindo que o agente da ameaça recupere o acesso quando necessário.
Depois que o Firestarter se aninha nos dispositivos, ele mantém a persistência durante reinicializações, atualizações de firmware e patches de segurança. Além disso, o backdoor é reiniciado automaticamente se for encerrado.
A persistência é alcançada conectando-se ao LINA, o processo central do Cisco ASA, e usando manipuladores de sinais que acionam rotinas de reinstalação.
Um relatório conjunto de análise de malware das duas agências de segurança cibernética explica que o Firestarter modifica o arquivo de inicialização/montagem CSP_MOUNT_LIST para garantir a execução na inicialização, armazena uma cópia de si mesmo em /opt/cisco/platform/logs/var/log/svc_samcore.log e o restaura em /usr/bin/lina_cs, onde é executado em segundo plano.
Cisco Talos também publicou sua análise do malware, dizendo que o mecanismo de persistência é acionado quando um sinal de encerramento do processo é recebido, também conhecido como reinicialização normal.
Os pesquisadores observaram no relatório do Firestarter que o backdoor usou os comandos abaixo para definir a persistência para si mesmo:
Mecanismo de persistênciaFonte: Cisco
A principal função do implante é atuar como um backdoor para acesso remoto, ao mesmo tempo que pode executar shellcode fornecido pelo invasor.
Isso é feito por meio de um mecanismo no qual o Firestarter se conecta ao LINA modificando um manipulador XML e injetando shellcode na memória, criando um caminho de execução controlado.
Este shellcode é acionado por uma solicitação WebVPN especialmente criada, que, após validar um identificador codificado, carrega e executa cargas fornecidas pelo invasor diretamente na memória.
No entanto, a CISA não forneceu detalhes sobre as cargas específicas observadas nos ataques.
A Cisco publicou um comunicado de segurança sobre o Firestarter que contém mitigações e soluções alternativas para remover o mecanismo de persistência, bem como indicadores de comprometimento para descobrir o implante do Firestarter.
O fornecedor “recomenda fortemente a recriação e atualização do dispositivo usando versões fixas”, o que abrange casos comprometidos e não comprometidos.
Para determinar um comprometimento, os administradores devem executar o ‘show kernel process | inclua o comando lina_cs. Para qualquer saída resultante, o dispositivo deve ser considerado comprometido.
Se a recriação da imagem do dispositivo não for possível no momento, a Cisco afirma que uma reinicialização a frio (desconectando a energia do dispositivo) remove o malware. No entanto, esta alternativa não é recomendada porque acarreta o risco de corrupção do banco de dados ou do disco, causando problemas de inicialização.
A CISA também compartilhou duas regras YARA que podem detectar o backdoor do Firestarter quando aplicado a uma imagem de disco ou core dump de um dispositivo.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
O backdoor foi atribuído a um agente de ameaça que o Cisco Talos rastreia internamente como UAT-4356, conhecido por campanhas de espionagem cibernética, incluindo ArcaneDoor.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) acreditam que o adversário obteve acesso inicial explorando um problema de autorização ausente (CVE-2025-20333) e/ou um bug de buffer overflow (CVE-2025-20362).
Em um incidente em uma agência do poder executivo civil federal, a CISA observou o agente da ameaça implantando primeiro o malware Line Viper, um carregador de shellcode em modo de usuário, e depois usando o Firestarter, que permite acesso contínuo mesmo após a correção.
“A CISA não confirmou a data exata da exploração inicial, mas avalia o comprometimento ocorrido no início de setembro de 2025, e antes de a agência implementar patches de acordo com ED 25-03”, observa a agência em alerta.
O Line Viper é usado para estabelecer sessões VPN e acessar todos os detalhes de configuração, incluindo credenciais administrativas, certificados e chaves privadas em dispositivos Firepower comprometidos.
Em seguida, o binário ELF para o backdoor do Firestarter é implantado para persistência, permitindo que o agente da ameaça recupere o acesso quando necessário.
Depois que o Firestarter se aninha nos dispositivos, ele mantém a persistência durante reinicializações, atualizações de firmware e patches de segurança. Além disso, o backdoor é reiniciado automaticamente se for encerrado.
A persistência é alcançada conectando-se ao LINA, o processo central do Cisco ASA, e usando manipuladores de sinais que acionam rotinas de reinstalação.
Um relatório conjunto de análise de malware das duas agências de segurança cibernética explica que o Firestarter modifica o arquivo de inicialização/montagem CSP_MOUNT_LIST para garantir a execução na inicialização, armazena uma cópia de si mesmo em /opt/cisco/platform/logs/var/log/svc_samcore.log e o restaura em /usr/bin/lina_cs, onde é executado em segundo plano.
Cisco Talos também publicou sua análise do malware, dizendo que o mecanismo de persistência é acionado quando um sinal de encerramento do processo é recebido, também conhecido como reinicialização normal.
Os pesquisadores observaram no relatório do Firestarter que o backdoor usou os comandos abaixo para definir a persistência para si mesmo:
Mecanismo de persistênciaFonte: Cisco
A principal função do implante é atuar como um backdoor para acesso remoto, ao mesmo tempo que pode executar shellcode fornecido pelo invasor.
Isso é feito por meio de um mecanismo no qual o Firestarter se conecta ao LINA modificando um manipulador XML e injetando shellcode na memória, criando um caminho de execução controlado.
Este shellcode é acionado por uma solicitação WebVPN especialmente criada, que, após validar um identificador codificado, carrega e executa cargas fornecidas pelo invasor diretamente na memória.
No entanto, a CISA não forneceu detalhes sobre as cargas específicas observadas nos ataques.
A Cisco publicou um comunicado de segurança sobre o Firestarter que contém mitigações e soluções alternativas para remover o mecanismo de persistência, bem como indicadores de comprometimento para descobrir o implante do Firestarter.
O fornecedor “recomenda fortemente a recriação e atualização do dispositivo usando versões fixas”, o que abrange casos comprometidos e não comprometidos.
Para determinar um comprometimento, os administradores devem executar o ‘show kernel process | inclua o comando lina_cs. Para qualquer saída resultante, o dispositivo deve ser considerado comprometido.
Se a recriação da imagem do dispositivo não for possível no momento, a Cisco afirma que uma reinicialização a frio (desconectando a energia do dispositivo) remove o malware. No entanto, esta alternativa não é recomendada porque acarreta o risco de corrupção do banco de dados ou do disco, causando problemas de inicialização.
A CISA também compartilhou duas regras YARA que podem detectar o backdoor do Firestarter quando aplicado a uma imagem de disco ou core dump de um dispositivo.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #o #malware #firestarter #sobrevive #às #atualizações #do #firewall #da #cisco #e #aos #patches #de #segurança
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário