Hacker Tersembunyi di Firewall Cisco Meski Sudah Diperbarui, Ancaman Infrastruktur Kritis

Ancaman Backdoor yang Bertahan di Firewall Cisco

Otoritas keamanan siber Amerika Serikat dan Inggris mengungkapkan bahwa kelompok peretas yang didukung negara telah menanamkan backdoor khusus pada perangkat keamanan jaringan Cisco. Backdoor ini mampu bertahan dari pembaruan firmware dan proses reboot standar, menandai eskalasi signifikan dalam kampanye yang menargetkan jaringan pemerintah dan infrastruktur kritis sejak akhir 2025.

Peringatan dari CISA dan NCSC

Badan Keamanan Infrastruktur dan Siber (CISA) Amerika Serikat bersama dengan Pusat Keamanan Siber Nasional (NCSC) Inggris secara bersama-sama menerbitkan laporan analisis malware pada Kamis (12/6). Mereka mengidentifikasi backdoor tersebut dengan kode Firestarter.

Divisi intelijen ancaman Cisco, Talos, mengaitkan malware ini dengan kelompok yang mereka pantau sebagai UAT-4356. Kelompok yang sama juga diduga bertanggung jawab atas kampanye spionase tahun 2024 bernama ArcaneDoor, yang menargetkan perangkat perimeter jaringan.

Temuan di Perangkat Federal AS

CISA mengonfirmasi bahwa mereka menemukan Firestarter pada perangkat Cisco Firepower milik badan federal sipil AS setelah mendeteksi koneksi mencurigakan melalui pemantauan jaringan berkelanjutan. Temuan ini mendorong dikeluarkannya perintah darurat terbaru yang mewajibkan semua badan federal sipil untuk:

• Melakukan audit terhadap infrastruktur firewall Cisco mereka.
• Mengirimkan snapshot memori perangkat untuk analisis sebelum Jumat (13/6).

Bagaimana Backdoor Ini Bertahan dari Pembaruan

Kekhawatiran utama dalam perintah darurat ini adalah kemampuan kelompok peretas untuk tetap berada di perangkat yang telah diperbarui. Cisco telah merilis pembaruan keamanan pada September 2025 untuk menambal dua kerentanan yang dieksploitasi UAT-4356:

• CVE-2025-20333: Kerentanan eksekusi kode jarak jauh pada komponen server web VPN.
• CVE-2025-20362: Kerentanan akses tidak sah.

Menurut CISA, perangkat yang telah terkompromi sebelum pembaruan masih berpotensi menyimpan implant Firestarter.

Mekanisme Persistensi yang Berbahaya

Firestarter memanfaatkan Cisco Service Platform mount list, sebuah berkas konfigurasi yang mengatur program mana yang dieksekusi saat perangkat melakukan booting. Ketika perangkat menerima sinyal penghentian atau melakukan reboot, malware ini menyalin dirinya ke lokasi sekunder dan menulis ulang mount list untuk memulihkan dan meluncurkan dirinya kembali setelah sistem aktif.

Reboot standar tidak dapat menghapus implant ini. Hanya hard reboot—dengan memutus perangkat dari sumber daya—yang dapat membersihkan mekanisme persistensi dari memori, menurut CISA dan Cisco.

Setelah itu, malware menyuntikkan shellcode berbahaya ke dalam LINA, inti perangkat lunak firewall dan jaringan Cisco (ASA dan Firepower Threat Defense). Saat permintaan jaringan tiba dengan urutan tersembunyi, malware mengeksekusi kode yang diberikan oleh penyerang, membuka akses backdoor ke perangkat.

Keterkaitan dengan Kampanye yang Sedang Berlangsung

Talos mencatat bahwa Firestarter memiliki kemiripan teknis dengan malware bernama RayInitiator, yang menunjukkan asal-usul atau sejarah pengembangan yang sama dalam arsenal UAT-4356.

Dalam insiden yang dianalisis CISA, para penyerang terlebih dahulu menanamkan Line Viper untuk mendapatkan akses terhadap konfigurasi perangkat, kredensial, dan kunci enkripsi. Firestarter baru dipasang setelahnya, sebelum pembaruan Cisco September 2025 diterapkan. Setelah pembaruan dilakukan, Firestarter tetap ada dan digunakan oleh aktor untuk mendeploy serangan lebih lanjut.

"Kemampuan untuk bertahan di perangkat meski telah diperbarui menunjukkan tingkat kecanggihan yang tinggi dari kelompok ini. Ini bukan sekadar serangan biasa, melainkan ancaman yang dirancang untuk eksfiltrasi data dan pengintaian jangka panjang," ujar seorang pakar keamanan siber yang tidak disebutkan namanya.

Langkah-Langkah Mitigasi yang Disarankan

CISA mendesak semua organisasi yang menggunakan perangkat Cisco untuk segera:

• Memeriksa perangkat terhadap indikator kompromi (IoC) yang telah dirilis.
• Melakukan hard reboot pada perangkat yang berpotensi terinfeksi.
• Memperbarui perangkat ke firmware terbaru, meski tidak menjamin penghapusan Firestarter.
• Mengisolasi perangkat yang mencurigakan dari jaringan utama.

Dampak terhadap Infrastruktur Kritis

Ancaman ini menimbulkan risiko serius bagi infrastruktur kritis seperti layanan kesehatan, energi, dan transportasi yang mengandalkan perangkat Cisco untuk keamanan jaringannya. Para ahli memperingatkan bahwa serangan semacam ini dapat menyebabkan pencurian data sensitif, gangguan layanan, atau bahkan pengendalian sistem secara ilegal.