تحذيرات أمريكية وبريطانية: اختراق أجهزة سيسكو الأمنية بواسطة خلفية مخصصة تخترق التحديثات

تحذير أمني عالمي: خلفية مخصصة تخترق أجهزة سيسكو الأمنية

كشفت كل من وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) ومركز الأمن السيبراني البريطاني (NCSC) عن حملة اختراق متطورة تستهدف أجهزة سيسكو الأمنية، حيث تم تثبيت خلفية مخصصة تُعرف باسم Firestarter قادرة على البقاء حتى بعد تحديثات البرامج وإعادة التشغيل. ويُعزى هذا الاختراق إلى مجموعة قرصنة مدعومة من دولة، تُعرف باسم UAT-4356.

وأشارت شركة سيسكو، من خلال قسمها للاستخبارات الأمنية Talos، إلى أن هذه المجموعة مسؤولة عن حملة تجسس سابقة في عام 2024، تُعرف باسم ArcaneDoor، والتي استهدفت أجهزة perimeter الأمنية. وتم اكتشاف خلفية Firestarter على جهاز سيسكو Firepower تابع لوكالة فيدرالية أمريكية بعد رصد اتصالات مشبوهة من خلال المراقبة المستمرة للشبكة.

الآلية الخطيرة للخلفية

تكمن الخطورة في قدرة الخلفية على البقاء على الأجهزة حتى بعد تطبيق التحديثات الأمنية التي أصدرتها سيسكو في سبتمبر 2025. وقد استغل المهاجمون ثغرتين أمنيتين، هما CVE-2025-20333 (ثغرة تنفيذ تعليمات عن بعد في خادم VPN) وCVE-2025-20362 (ثغرة وصول غير مصرح به)، لاختراق الأجهزة.

تسمح الخلفية للمهاجمين بتحقيق الاستمرارية من خلال تعديل قائمة التثبيت في منصة Cisco Service Platform، وهو ملف تكوين يتحكم في البرامج التي تعمل أثناء عملية تشغيل الجهاز. وعندما يتم إعادة تشغيل الجهاز، ينسخ المهاجمون أنفسهم إلى موقع ثانوي ويعيدون كتابة القائمة لاستعادة تشغيلهم بعد عودة النظام. ولا يمكن إزالة الخلفية إلا من خلال إعادة تشغيل قاسية (فصل الجهاز عن مصدر الطاقة).

بعد ذلك، تحقن الخلفية تعليمات برمجية خبيثة في LINA، وهو قلب نظام سيسكو ASA وFirepower Threat Defense. وعند وصول طلب VPN يحتوي على تسلسل مخفي، ينفذ المهاجمون التعليمات التي توفر لهم وصولاً خلفياً إلى الجهاز.

صلة الحملة المستمرة

أشارت سيسكو Talos إلى وجود تشابه تقني كبير بين خلفية Firestarter وخلفية أخرى تُعرف باسم RayInitiator، مما يشير إلى أن الأدوات قد نشأت من نفس المصدر أو التاريخ التطوري داخل ترسانة UAT-4356.

في الحادث الذي حللته CISA، نشر المهاجمون أولاً خلفية أخرى تُعرف باسم Line Viper للحصول على وصول إلى إعدادات الجهاز والمعلومات الاعتمادية ومفاتيح التشفير. ثم تم تثبيت خلفية Firestarter قبل تطبيق تحديثات سيسكو في سبتمبر 2025. وعندما قامت الوكالة بتحديث أنظمة الحماية، ظلت خلفية Firestarter موجودة واستخدمها المهاجمون لإعادة نشرها.

إجراءات طارئة من قبل الحكومة الأمريكية

أصدرت CISA توجيهاً طارئاً محدثاً يوم الخميس، مطالباً جميع الوكالات الفيدرالية المدنية بمراجعة أجهزة جدار الحماية من سيسكو وتقديم لقطات لذاكرة الأجهزة للتحليل بحلول يوم الجمعة. ويُعد هذا الإجراء ضرورياً بسبب قدرة الخلفية على البقاء حتى بعد تطبيق التحديثات الأمنية.

يُذكر أن هذه الحملة تأتي في إطار تصاعد التهديدات السيبرانية العالمية، حيث تستهدف مجموعات مدعومة من دول شبكات حكومية وبنية تحتية حرجة، مما يشكل خطراً كبيراً على الأمن القومي والاقتصادي.