Cisco Talos описала новую волну атак на устройства Cisco Firepower с Firepower eXtensible Operating System. Группа UAT-4356 использует уже известные уязвимости CVE-2025-20333 и CVE-2025-20362, получает доступ к устройствам и устанавливает бэкдор FIRESTARTER. Эту группу ранее связывали с кампанией ArcaneDoor против сетевых устройств на периметре.
Читайте также: Cisco предупреждает об активных атаках на корпоративную телефонию: патчить CVE-2026-20045 нужно немедленно
Уязвимости затрагивают Cisco Secure Firewall ASA и Secure Firewall Threat Defense. CVE-2025-20333 связана с переполнением буфера и может привести к удалённому выполнению кода с правами root. CVE-2025-20362 позволяет без аутентификации получить доступ к закрытым URL-эндпоинтам VPN-сервера. Rapid7 отдельно отмечала, что эти две проблемы можно объединять в цепочку атаки.
FIRESTARTER работает внутри процесса LINA — ключевого компонента ASA и FTD. Имплант подменяет обработчик WebVPN XML-запросов: обычные запросы пропускают дальше, а запросы с нужным маркером запускают shellcode прямо в памяти устройства. Такой подход усложняет обнаружение: вредоносная логика не выглядит как отдельный классический сервис, который просто висит в системе.
Механизм закрепления тоже нетипичный. Бэкдор меняет список монтирования Cisco Service Platform и активируется при штатной перезагрузке. После запуска он восстанавливает исходные следы и удаляет временные файлы. Жёсткое отключение питания, то есть физическое обесточивание устройства, удаляет этот временный механизм закрепления, но Cisco Talos всё равно рекомендует переустановку образа для заражённых устройств. CISA и британский NCSC выпустили отдельное предупреждение по FIRESTARTER.
Патч сам по себе может быть недостаточным, если устройство уже заражено. FedRAMP в инструкции для поставщиков требует проверять устройства на индикаторы компрометации, ставить обновления Cisco и выполнять hard reset с физическим отключением питания; обычная перезагрузка не считается достаточной мерой для удаления вредоносного кода.
Cisco Talos рекомендует искать артефакты lina_cs и svc_samcore.log, проверять процессы, переустанавливать заражённые устройства, обновлять ПО и использовать правила Snort 65340, 46897 для эксплуатации уязвимостей и 62949 для активности FIRESTARTER. Поэтому сетевые экраны и VPN-шлюзы нельзя считать «железками на краю сети». Это полноценные серверы с привилегированным доступом. Их нужно патчить, проверять на компрометацию и изолировать так же строго, как критичные узлы внутри инфраструктуры.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
