סוכנויות ארה"ב ובריטניה מזהירות: האקרים הסתתרו במערכות Cisco שנים לאחר עדכוני האבטחה

דלת אחורית מתוחכמת שורדת עדכונים

רשויות אבטחת הסייבר של ארה"ב ובריטניה חשפו היום כי קבוצת האקרים שנתמכת על ידי מדינה הטמינה דלת אחורית מותאמת אישית במערכות אבטחת הרשת של Cisco, אשר מסוגלת לשרוד עדכוני קושחה ואתחולים סטנדרטיים. האיום, המכונה Firestarter, מהווה הסלמה משמעותית בקמפיין מתמשך נגד רשתות ממשלתיות ותשתיות קריטיות מאז סוף 2023.

הודעה משותפת של CISA (סוכנות האבטחה והתשתיות האמריקאית) ו-NCSC (המרכז הלאומי לאבטחת סייבר בבריטניה) חשפה כי הדלת האחורית זוהתה במערכת Cisco Firepower של סוכנות פדרלית אזרחית בארה"ב. החשיפה התאפשרה לאחר זיהוי חיבורים חשודים במעקב רציף אחר הרשת.

הנחיות חירום חדשות לכל סוכנויות הממשל הפדרלי

בתגובה לאיום, פרסמה CISA הנחיית חירום מעודכנת, המחייבת את כל סוכנויות הממשל הפדרלי האזרחי לבצע בדיקת נאותות מיידית של תשתיות Cisco Firewall שלהם ולהגיש צילומי זיכרון של המכשירים לניתוח עד יום שישי הקרוב.

מדוע הדלת האחורית כל כך מסוכנת?

הדאגה העיקרית נובעת מהיכולת של התוקפים לשמור על נוכחות במערכות גם לאחר שהארגונים התקינו עדכוני אבטחה שפורסמו על ידי Cisco בספטמבר 2025. העדכונים טיפלו בשתי פגיעויות קריטיות:

• CVE-2025-20333: פגיעות ביצוע קוד מרחוק ברכיב שרת ה-VPN
• CVE-2025-20362: פגיעות גישה לא מורשית

התוקפים ניצלו פגיעויות אלו כדי לחדור למערכות לפני שהעדכונים הותקנו. לפי CISA, מכשירים שהותקפו לפני ההתקנה עשויים עדיין להכיל את הנוזקה.

מנגנון ההישרדות של Firestarter

הדלת האחורית משתמשת בטכניקה מתוחכמת כדי להשיג אחיזה מתמשכת במערכת:

1. היא מניפולציה בקובץ התצורה Service Platform mount list, אשר קובע אילו תוכניות יופעלו במהלך תהליך האתחול של המכשיר.
2. בעת קבלת אות סיום או ביצוע אתחול, הנוזקה מעתיקה את עצמה למיקום משני ומשנה את רשימת ההרצה כדי להבטיח את הפעלתה מחדש לאחר שהמערכת תעלה.
3. אתחול רגיל אינו מסיר את הנוזקה – רק אתחול קשיח (ניתוק פיזי ממקור החשמל) יכול לנקות את מנגנון ההישרדות מהזיכרון.

לאחר מכן, הנוזקה מזריקה קוד זדוני אל LINA – ליבת הרשת והחומת האש של Cisco ASA ו-Firepower Threat Defense. שם היא מיירטת בקשות רשת ספציפיות המשמשות לזיהוי VPN, ומפעילה קוד שהוזרק על ידי התוקפים כאשר מתקבלת רצף טריגר מוסתר.

קשרים לקמפיין ArcaneDoor

חברת Cisco Talos, אשר עוקבת אחר איומי סייבר, מצאה דמיון טכני משמעותי בין Firestarter לבין נוזקה קודמת בשם RayInitiator, מה שמצביע על מקור משותף או היסטוריית פיתוח דומה במסגרת קבוצת האיום UAT-4356.

במקרה שנחקר על ידי CISA, התוקפים השתמשו תחילה בנוזקה נוספת בשם Line Viper כדי להשיג גישה לתצורות המכשיר, אישורי כניסה ומנגנוני הצפנה. לאחר מכן הותקנה Firestarter, לפני שהעדכונים של ספטמבר 2025 הותקנו. כאשר הארגון התקין את העדכונים, Firestarter נשארה במערכת, ואפשרה לתוקפים להשתמש בה מחדש.

CISA וקבוצת Talos של Cisco מדגישות כי נדרשת פעולה מיידית: ארגונים חייבים לבצע בדיקות מעמיקות של כל מכשירי Cisco Firewall שלהם, ולהתייחס לכל מכשיר שהותקף לפני ספטמבר 2025 כפוטנציאל להכיל את הנוזקה, גם אם עדכוני האבטחה הותקנו.

המלצות לפעולה מיידית

על מנת להתגונן מפני האיום, ממליצות הרשויות:

• ביצוע בדיקות מעמיקות של כל מערכות Cisco Firewall בארגון.
• הגשת צילומי זיכרון של המכשירים לניתוח על ידי CISA עד יום שישי הקרוב.
• אתחול קשיח של כל מכשיר חשוד כדי להסיר את מנגנון ההישרדות של הנוזקה.
• שיתוף מידע עם רשויות אבטחת הסייבר המקומיות והבינלאומיות.