بدافزار Firestarter فایروال سیسکو با وصله امنیتی از بین نمی‌رود!

بدافزار firestarter فایروال سیسکو

به‌تازگی در آوریل 2026، سازمان‌های امنیت سایبری آمریکا، بریتانیا و استرالیا هشدار جدی درباره بدافزار جدیدی به نام «Firestarter» صادر کردند که دستگاه‌های فایروال سیسکو را هدف قرار می‌دهد. چیزی که این تهدید را به طور ویژه نگران‌کننده می‌کند، توانایی آن در ماندگاری پس از اعمال وصله‌های امنیتی، به‌روزرسانی میان‌افزار (firmware) و حتی راه‌اندازی مجدد دستگاه است! اما برای از بین بردن بدافزار Firestarter فایروال سیسکو باید چه‌کار کنیم؟ با فالنیک (ایران اچ پی) همراه باشید.

بدافزار Firestarter دقیقاً چیست؟

Firestarter یکی از انواع تهدیدات سایبری و بدافزار پیشرفته از نوع در پشتی (backdoor) است که توسط یک گروه تهدید پیشرفته (APT) به نام UAT-4356 (که با نام‌های Storm-1849 و ArcaneDoor نیز شناخته می‌شود) ساخته و به کار گرفته شده است. این گروه که فعالیت آن حداقل از سال 2023 آغاز شده و گمان می‌رود با یک دولت شرقی مرتبط باشد، به طور ویژه دستگاه‌های مرزی شبکه را برای جاسوسی هدف قرار می‌دهد.

بدافزار Firestarter چه دستگاه‌هایی را هدف می‌گیرد؟

هدف اصلی این بدافزار، دستگاه‌های فایروال سیسکو است که از نرم‌افزارهای زیر استفاده می‌کنند:

  • ASA (Adaptive Security Appliance)
  • FTD (Firepower Threat Defense)
  • FXOS (Firepower eXtensible Operating System)

مدل‌های خاص تحت تأثیر شامل سری‌های Firepower 1000، 2100، 4100، 9300، 1200، 3100، 4200 و Secure Firewall 1200، 3100، 4200 هستند.

فایروال سیسکو در معرض بدافزار Firestarter

نحوه نفوذ و استقرار بدافزار Firestarter فایروال سیسکو

مهاجمان ابتدا از دو آسیب‌پذیری روز صفر در نرم‌افزار ASA و FTD سیسکو سوءاستفاده می‌کنند:

  1. CVE-2025-20333 – یک نقص سرریز بافر در WebVPN
  2. CVE-2025-20362 – یک مشکل عدم احراز هویت مناسب

این آسیب‌پذیری‌ها به مهاجم اجازه می‌دهد بدون احراز هویت، از راه دور به دستگاه دسترسی پیدا کرده و کد مخرب را با بالاترین سطح دسترسی (root) اجرا کند. حملات اولیه از سپتامبر 2025 شناسایی شده‌اند و در مارس 2026 فعالیت دوباره گروه تشدید شده است.

پس از نفوذ اولیه، مهاجم در دو مرحله عمل می‌کند:

مرحله اول: استقرار Line Viper

یک بارگذاری‌کننده کد شل (shellcode loader) به نام Line Viper روی دستگاه نصب می‌شود. این ابزار قابلیت‌های زیر را فراهم می‌کند:

  • اجرای دستورات خط فرمان (CLI)
  • ضبط بسته‌های شبکه
  • دور زدن سیاست‌های شبکه مجازی خصوصی
  • سرقت اعتبارنامه‌ها و کلیدهای خصوصی
  • از بین بردن لاگ‌های سیستمی

مرحله دوم: استقرار Firestarter

پس از استقرار Line Viper، بدافزار اصلی Firestarter روی دستگاه کاشته می‌شود.

راز ماندگاری‌؛ چگونه Firestarter پس از پچ زنده می‌ماند؟

مکانیسم ماندگاری Firestarter هوشمندانه و پیچیده است. بدافزار از ساختار سیستم‌عامل FXOS سیسکو سوءاستفاده می‌کند:

تغییر فهرست مانت (CSP_MOUNT_LIST)

Firestarter فایلی به نام CSP_MOUNT_LIST را تغییر می‌دهد. این فایل مشخص می‌کند چه برنامه‌هایی هنگام بوت شدن دستگاه اجرا شوند. بدافزار خود را به این فهرست اضافه می‌کند.

رهگیری سیگنال خاموش شدن

هنگامی که دستگاه سیگنال خاموش شدن (graceful shutdown) دریافت می‌کند، Firestarter فعال می‌شود و اقدامات زیر را انجام می‌دهد:

  1. خود را در مسیر /opt/cisco/platform/logs/var/log/svc_samcore.log کپی می‌کند.
  2. فهرست CSP_MOUNT_LIST را بازنویسی می‌کند تا به جای فایل اصلی، بدافزار اجرا شود.
  3. پس از راه‌اندازی مجدد، فهرست اصلی را بازمی‌گرداند تا رد خود را پنهان کند.

تزریق به فرایند LINA

بدافزار خود را به LINA (هسته پردازش اصلی ASA و FTD) تزریق می‌کند. سپس یک هندلر قانونی WebVPN را با کد مخرب خود جایگزین می‌کند.

حالت خواب (Dormant Mode)

پس از استقرار، Firestarter هیچ ترافیک خروجی، هیچ رویداد سیستمی و هیچ رفتاری که قابل شناسایی باشد از خود نشان نمی‌دهد. این امر تشخیص آن را بسیار دشوار می‌کند.

فعال‌سازی مجدد با «بسته جادویی» (Magic Packet)

Firestarter منتظر یک درخواست احراز هویت WebVPN ویژه می‌ماند. این درخواست حاوی یک بارکد XML جادویی است. هنگامی که بدافزار این الگو را تشخیص دهد، شل‌کد محصور در آن را اجرا می‌کند. نکته بسیار نگران‌کننده این است که این فرایند به هیچ آسیب‌پذیری جدیدی نیاز ندارد؛ حتی اگر دستگاه کاملاً پچ شده باشد، مهاجم می‌تواند از این راه دوباره به آن دسترسی پیدا کند.

چرا نصب وصله‌های امنیتی کافی نیست؟

سازمان‌ها معمولاً تصور می‌کنند با اعمال وصله امنیتی، تهدید خنثی می‌شود. اما در مورد Firestarter این فرضیه اشتباه است. مهاجمان از آسیب‌پذیری‌ها برای نفوذ اولیه استفاده می‌کنند، اما پس از نصب بدافزار، Firestarter به طور مستقل عمل می‌کند. وصله‌های امنیتی منتشر شده در سپتامبر 2025 بدافزارهایی را که قبلاً نصب شده‌اند پاک نمی‌کنند.

CISA (آژانس امنیت سایبری آمریکا) تأیید کرده است که حداقل یک آژانس فدرال آمریکا این بدافزار را روی دستگاه‌های خود داشته و حتی پس از اعمال وصله، بدافزار همچنان فعال بوده است.

برای پاک‌سازی و از بین بردن بدافزار Firestarter فایروال سیسکو چه‌کار کنیم؟

برای حذف بدافزار Firestarter فایروال سیسکو پچ کردن کافی نیست، بلکه باید اقدامات زیر را انجام دهید:

1- شناسایی با دستورات خط فرمان

مدیران شبکه باید دستور زیر را روی تمام دستگاه‌های خود اجرا کنند:

show kernel process | include lina_cs

هرگونه خروجی از این دستور نشانه قطعی آلودگی به Firestarter است.

همچنین وجود فایل‌های زیر روی دیسک دستگاه نشانه آلودگی است:

/usr/bin/lina_cs
/opt/cisco/platform/logs/var/log/svc_samcore.log

2- استفاده از قوانین YARA

CISA قوانین YARA خاصی منتشر کرده است که می‌توان آنها را روی خروجی core dump دستگاه اجرا کرد.

3- قطع کامل برق فیزیکی (Hard Power Cycle)

تنها راه قطعی پاک‌سازی موقت، قطع کامل برق دستگاه از همه منابع تغذیه (از جمله منبع تغذیه پشتیبان) به مدت حداقل یک دقیقه است.

نکته مهم: دستورات reload، shutdown و `reboot** اثری ندارند، زیرا بدافزار سیگنال خاموش شدن را رهگیری کرده و خود را بازآفرینی می‌کند.

4- بازنویسی کامل تصویر سیستم (Reimaging) – راه‌حل نهایی

Cisco به شدت توصیه می‌کند که دستگاه‌های آلوده کاملاً بازنویسی (reimage) شده و سپس با نسخه نرم‌افزاری که مشکل را برطرف کرده ارتقا یابند. این روش تنها راهی است که می‌تواند اطمینان حاصل کند که بدافزار به طور کامل حذف شده است.

نتیجه‌گیری و توصیه‌های نهایی

بدافزار Firestarter فایروال سیسکو نشان‌دهنده جهشی بزرگ در توانایی‌های حملات سایبری است. این بدافزار مفهوم «پچ کن و فراموش کن» (patch and forget) را به چالش می‌کشد. سازمان‌هایی که دستگاه‌های سیسکوی آنها بین سپتامبر 2025 تا زمان اعمال وصله در معرض اینترنت بوده‌اند، باید سریعاً اقدامات زیر را انجام دهند:

  1. شناسایی: اجرای دستور show kernel process | include lina_cs روی تمام دستگاه‌ها
  2. ایزوله‌سازی: در صورت مشاهده علائم دستگاه را از شبکه جدا کنید
  3. گزارش: حادثه را به تیم امنیت سایبری سازمان مربوطه گزارش دهید
  4. پاک‌سازی کامل: اجرای بازنویسی کامل تصویر (reimaging) و سپس ارتقا به نسخه نرم‌افزاری ایمن

این حادثه نشان می‌دهد که در نبرد سایبری مدرن، حتی به‌روزترین وصله‌ها هم نمی‌توانند تضمین‌کننده امنیت باشند و سازمان‌ها باید به دنبال راه‌حل‌های دفاعی عمیق‌تر و فعال‌تر و استفاده از خدمات امنیت شبکه مطمئن باشند.

5/5 - (2 امتیاز)
منبع
Help Net Security
سروش شکوئی‌پور
سروش شکوئی‌پور هستم؛ با بیش از 12 سال تجربه در برنامه‌نویسی، تولید محتوا و سئو. در این سال‌ها در زمینه‌های برنامه‌نویسی Front-End و تولید محتوای تخصصی در حوزه‌های سرور، شبکه، سخت‌افزار کامپیوتر، لپ تاپ و تجهیزات اداری فعالیت کرده‌ام. حالا با گذراندن دوره‌های بازاریابی محتوایی HubSpot، به دنبال این هستم تا با تولید محتوای باکیفیت‌تر، لذت کشف‌های جدید رو به شما هدیه بدم.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا