هادي هي الترجمة ديال المقال لـ "داريجة" مغربية بأسلوب تقني ومفهوم:
FIRESTARTER Backdoor Hit Federal Cisco Firepower Device, Survives Security Patches
هادي هي الترجمة ديال المقال لـ "داريجة" مغربية بأسلوب تقني ومفهوم:
الـ Backdoor ديال FIRESTARTER: مالوير (Malware) كيبقى لاصق كيضرب أجهزة Cisco الفيدرالية فـ ميريكان
خلاصة الموضوع (TL;DR): وكالة CISA الميريكانية و الـ NCSC البريطانية كشفو على واحد الـ Backdoor جديد سميتو FIRESTARTER كيستهدف أجهزة Cisco Firepower. هاد المالوير كيستغل جوج ثغرات (CVE-2025-20333 و CVE-2025-20362)، والخطورة ديالو أنه كيبقى لاصق واخا تدير التحديثات (Security Patches) أو تبدل الـ Firmware. باش يتحيد، خاصك ضروري طفي الجهاز من "البريز" وتولي تشعلو (Physical hard power cycle).
نظرة عامة على الاختراق
وكالة الأمن السيبراني وأمن البنية التحتية (CISA) كشفات مؤخراً على اختراق متطور بزاف تعرض ليه جهاز Cisco Firepower ديال وكالة فيدرالية ميريكانية (باقي مسموهاش). هاد الاختراق، اللي تحسّو بيه فـ شتنبر 2025، تدار بواحد المالوير مخدّم مخصوص سميتو FIRESTARTER.
هاد الـ FIRESTARTER كيتعتبر Backdoor للتحكم والوصول عن بُعد، وهو جزء من حملة "واسعة النطاق" مديورة من طرف مجموعة ديال الهاكرز متطورة (APT). سيسكو متبعة هاد النشاط تحت سمية UAT4356 (ومعروفين حتى بـ Storm-1849).
الثغرات اللي تستغلات
الهاكرز قدرو يدخلو عن طريق استغلال جوج عيوب أمنية فـ السوفتوير ديال Cisco Adaptive Security Appliance (ASA):
- CVE-2025-20333 (بدرجة خطورة 9.9): ثغرة حرجة بزاف فـ الطريقة كيفاش السوفتوير كيتعامل مع البيانات اللي كيدخلها المستخدم. كتسمح للهاكر اللي عندو حساب VPN صحيح باش يخدم كود (Arbitrary Code) بصلاحيات Root.
- CVE-2025-20362 (بدرجة خطورة 6.5): عيب فـ التثبت كيسمح للهاكرز اللي ما معندهومش حساب باش يوصلو لروابط (URLs) ممنوعة عن طريق طلبات HTTP مخدومة بطريقة خاصة.
ما بعد الاختراق وكيفاش كيبقى لاصق (Persistence)
من بعد ما نجح الاختراق الأول، الهاكرز حطو واحد المجموعة ديال الأدوات سميتها LINE VIPER. هاد الأدوات كتعطيهم تحكم كامل فـ الجهاز، بما فيه:
- يديرو أوامر CLI ويصيدو الـ Packets ديال الريزو.
- يتخطاو نظام التحقق (AAA) ديال الـ VPN.
- يخبيو رسائل الـ syslog باش ما يتفرشوش.
- يجمعو الأوامر اللي كيدخلها المستخدم ويأخرو عملية الـ Reboot.
LINE VIPER هو اللي دوز الـ FIRESTARTER، اللي هو "Linux ELF binary". الخدمة الأساسية ديال FIRESTARTER هي يضمن بقاء الهاكرز فـ الجهاز. هو كيتلاعب بـ "Startup mount list" ديال الجهاز باش يلصق راسو فـ عملية التشغيل (Boot sequence)، هكا كيضمن راسو غا يولي يخدم من جديد واخا يدار Reboot عادي.
تهديد كيبقى حي واخا تدير Patch
أخطر حاجة فـ FIRESTARTER هي المقاومة ديالو. على حساب CISA و NCSC البريطانية، هاد المالوير كيبقى حي واخا تدير تحديثات الـ Firmware أو الـ Security Patches. واخا الأدمن يدير الحل ديال الثغرات القديمة، هاد الـ Backdoor كيبقى خدام.
المالوير كيلصق فـ LINA، اللي هو المحرك الأساسي (Core engine) ديال سيسكو لمعالجة الشبكة. كيبقى يتسنى واحد الـ "magic packet" كتصيفط وسط طلبات WebVPN باش يخدم "Shellcode" كيصيفطوه الهاكرز.
الحل: ضرورة الـ "Hard" Reboot
بما أن هاد المالوير مصمم باش يقاوم الأوامر اللي جاية من السوفتوير، سيسكو عطات نصيحة غير معتادة.
الأوامر العادية ديال CLI بحال shutdown أو reboot أو reload ما غاديش يمسحو هاد الفيروس.
باش تحيد FIRESTARTER نهائياً، سيسكو كتنصح بـ:
- Physical power cycle: خاص المستخدم يحيد كابل الضوء من البريز ويولي يرجعو (Cold restart).
- Reimaging: خاص الجهاز يتعاود ليه السوفتوير (Reimage) ويتدار ليه Upgrade لنسخة محمية.
- Trust Reset: أي حاجة كانت فـ الإعدادات (Configuration) ديال الجهاز اللي تضرب خاصك تعامل معاها على أنها مسمومة وماشي موثوقة.
شكون مول الفعلة؟ (Attribution)
وخا المصدر ديال UAT4356 باقي ما تخدمش فيه قرار رسمي، المحللين من Censys و Check Point Software كيشيرو لأن المجموعة عندها علاقة بـ "الصين". هاد الحملة فيها تشابه مع أنشطة قديمة سميتها ArcaneDoor وواحد الـ bootkit سميتو RayInitiator.
هاد الحادث كيبين التغيير فـ الاستراتيجية ديال المجموعات المدعومة من الدول بحال Volt Typhoon و Flax Typhoon. هاد الهاكرز ولاو كيستهدفو كتر الـ "Edge infrastructure" (بحال الرواتر والـ Firewalls) حيت هادو غالباً ما كيكونش فيهم أدوات حماية قوية (Endpoint security) وما كيدارش ليهم التحديث بنفس السرعة ديال السيرفورات.
الخاتمة
الاكتشاف ديال FIRESTARTER كيبين الدرجة العالية ديال التطور اللي وصلو ليها الهاكرز اللي كيستهدفو البنية التحتية ديال الشبكات. ملي كيزرعو مالوير فـ وسط الـ Boot sequence ديال الجهاز، كيقدر يبقى عندهم وصول لسنوات واخا تدير الصيانة العادية. كاع المؤسسات اللي خدامة بـ Cisco ASA أو Firepower خاصهم يراجعو الـ Logs ديالهم ويقلبو على علامات UAT4356، ويتبعو البروتوكول ديال حيد الضوء ورجعو يلا شكّو فـ شي اختراق.
المصدر: https://thehackernews.com/2026/04/firestarter-backdoor-hit-federal-cisco.html