أعلنت وكالة الأمن السيبراني والبنية التحتية الأميركية CISA بالتعاون مع المركز الوطني للأمن السيبراني البريطاني NCSC عن تعرض جهاز تابع لإحدى الوكالات المدنية الفيدرالية الأميركية لهجوم ببرمجية خبيثة تُعرف باسم FIRESTARTER في سبتمبر 2025. الجهاز كان يعمل ببرمجيات Cisco Adaptive Security Appliance (ASA)، وقد استغل المهاجمون ثغرات أمنية خطيرة أبرزها:
- CVE-2025-20333 (تقييم 9.9) والتي تسمح بتنفيذ تعليمات برمجية بصلاحيات الجذر عبر طلبات HTTP مصممة خصيصًا.
- CVE-2025-20362 (تقييم 6.5) والتي تسمح بالوصول إلى واجهات محمية دون مصادقة.
ورغم إصدار Cisco تحديثات لإصلاح هذه الثغرات، فإن البرمجية الخبيثة تمكنت من البقاء على الأجهزة المصابة حتى بعد التحديثات.
قدرات FIRESTARTER وآلية البقاء
البرمجية FIRESTARTER، وهي ملف ثنائي بلغة ELF على نظام لينكس، صُممت لتوفير وصول عن بُعد مستمر للمهاجمين. ما يميزها هو قدرتها على البقاء حتى بعد إعادة تشغيل الجهاز أو تحديث البرمجيات، إذ تدمج نفسها في تسلسل الإقلاع عبر التلاعب بقائمة التحميل، لتُعاد تفعيلها تلقائيًا مع كل تشغيل طبيعي.
كما تحاول تثبيت “خطاف” داخل محرك LINA الأساسي المسؤول عن معالجة الشبكة والوظائف الأمنية، مما يسمح بتنفيذ تعليمات برمجية عشوائية، بما في ذلك نشر أدوات إضافية مثل LINE VIPER.
أداة LINE VIPER ودورها في الهجوم
المهاجمون استخدموا أداة ما بعد الاستغلال LINE VIPER، التي تمنحهم صلاحيات واسعة مثل تنفيذ أوامر CLI، التقاط الحزم، تجاوز أنظمة المصادقة الخاصة بـ VPN، إخفاء رسائل السجلات، وجمع أوامر المستخدمين. هذه الأداة شكلت قناة رئيسية لنشر FIRESTARTER على الجهاز المستهدف، مما أتاح لهم العودة إلى الجهاز حتى بعد مرور أشهر على الاختراق الأولي.
الروابط المحتملة مع حملات صينية
رغم أن مصدر الهجوم لم يُحدد بشكل قاطع، إلا أن تحليلات سابقة من منصة Censys عام 2024 أشارت إلى روابط محتملة مع جهات صينية. كما أن النشاط المرتبط بالثغرات يتوافق مع حملة ArcaneDoor التي استغلت ثغرات يوم الصفر في أجهزة Cisco لنشر برمجيات مخصصة لجمع بيانات الشبكة وإجراء استطلاع.
توصيات Cisco والإجراءات الوقائية
أكدت Cisco أن التحديثات الأمنية لا تكفي لإزالة البرمجية، وأن الحل الجذري هو إعادة تهيئة الجهاز بالكامل (Reimaging) مع ترقية البرمجيات. كما شددت على أن جميع إعدادات الجهاز المصاب يجب اعتبارها غير موثوقة.
كإجراء مؤقت، أوصت الشركة بإجراء إيقاف تشغيل كامل (Cold Restart) عبر فصل الجهاز عن الكهرباء وإعادة تشغيله، إذ أن أوامر إعادة التشغيل التقليدية لا تزيل البرمجية المزروعة.
