Ny bakdør holder seg aktiv på Cisco enheter etter patching.
Ny bakdør holder seg aktiv på Cisco enheter etter patching
Cybersikkerhetsmyndigheter i USA og Storbritannia advarer om en avansert bakdør kalt Firestarter som opprettholder tilgang på Cisco Firepower- og Secure Firewall enheter selv etter oppdateringer og patching. Angriperen, kjent som UAT-4356, utnytter sårbarheter som CVE-2025-20333 og CVE-2025-20362 for å få initiell tilgang.
Et typisk angrep starter med skadevaren Line Viper, som brukes til å etablere VPN tilgang og hente ut sensitiv konfigurasjon som brukerdetaljer og nøkler. Deretter installeres Firestarter, som sørger for vedvarende tilgang ved å integrere seg i kjernen av systemet (LINA) og automatisk reinstallere seg selv ved omstart eller terminering.
Skadevaren kan også kjøre angriperstyrt kode direkte i minnet via manipulerte WebVPN forespørsler. En særlig alvorlig egenskap er at den overlever omstart, firmwareoppdateringer og sikkerhetsoppdateringer. Cisco anbefaler re-installering og oppgradering av enheter for å fjerne trusselen.
Administratorer kan sjekke kompromittering ved å kjøre kommandoen show kernel process | include lina_cs. Oppdater og reinstaller berørte enheter umiddelbart, overvåk for mistenkelig aktivitet, og sørg for at kjente sårbarheter er lukket. Unngå midlertidige løsninger som kan føre til systemfeil.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.