بدافزار Firestarter فایروال سیسکو با وصله امنیتی از بین نمیرود!

بهتازگی در آوریل 2026، سازمانهای امنیت سایبری آمریکا، بریتانیا و استرالیا هشدار جدی درباره بدافزار جدیدی به نام «Firestarter» صادر کردند که دستگاههای فایروال سیسکو را هدف قرار میدهد. چیزی که این تهدید را به طور ویژه نگرانکننده میکند، توانایی آن در ماندگاری پس از اعمال وصلههای امنیتی، بهروزرسانی میانافزار (firmware) و حتی راهاندازی مجدد دستگاه است! اما برای از بین بردن بدافزار Firestarter فایروال سیسکو باید چهکار کنیم؟ با فالنیک (ایران اچ پی) همراه باشید.
بدافزار Firestarter دقیقاً چیست؟
Firestarter یکی از انواع تهدیدات سایبری و بدافزار پیشرفته از نوع در پشتی (backdoor) است که توسط یک گروه تهدید پیشرفته (APT) به نام UAT-4356 (که با نامهای Storm-1849 و ArcaneDoor نیز شناخته میشود) ساخته و به کار گرفته شده است. این گروه که فعالیت آن حداقل از سال 2023 آغاز شده و گمان میرود با یک دولت شرقی مرتبط باشد، به طور ویژه دستگاههای مرزی شبکه را برای جاسوسی هدف قرار میدهد.
بدافزار Firestarter چه دستگاههایی را هدف میگیرد؟
هدف اصلی این بدافزار، دستگاههای فایروال سیسکو است که از نرمافزارهای زیر استفاده میکنند:
- ASA (Adaptive Security Appliance)
- FTD (Firepower Threat Defense)
- FXOS (Firepower eXtensible Operating System)
مدلهای خاص تحت تأثیر شامل سریهای Firepower 1000، 2100، 4100، 9300، 1200، 3100، 4200 و Secure Firewall 1200، 3100، 4200 هستند.

نحوه نفوذ و استقرار بدافزار Firestarter فایروال سیسکو
مهاجمان ابتدا از دو آسیبپذیری روز صفر در نرمافزار ASA و FTD سیسکو سوءاستفاده میکنند:
- CVE-2025-20333 – یک نقص سرریز بافر در WebVPN
- CVE-2025-20362 – یک مشکل عدم احراز هویت مناسب
این آسیبپذیریها به مهاجم اجازه میدهد بدون احراز هویت، از راه دور به دستگاه دسترسی پیدا کرده و کد مخرب را با بالاترین سطح دسترسی (root) اجرا کند. حملات اولیه از سپتامبر 2025 شناسایی شدهاند و در مارس 2026 فعالیت دوباره گروه تشدید شده است.
پس از نفوذ اولیه، مهاجم در دو مرحله عمل میکند:
مرحله اول: استقرار Line Viper
یک بارگذاریکننده کد شل (shellcode loader) به نام Line Viper روی دستگاه نصب میشود. این ابزار قابلیتهای زیر را فراهم میکند:
- اجرای دستورات خط فرمان (CLI)
- ضبط بستههای شبکه
- دور زدن سیاستهای شبکه مجازی خصوصی
- سرقت اعتبارنامهها و کلیدهای خصوصی
- از بین بردن لاگهای سیستمی
مرحله دوم: استقرار Firestarter
پس از استقرار Line Viper، بدافزار اصلی Firestarter روی دستگاه کاشته میشود.
راز ماندگاری؛ چگونه Firestarter پس از پچ زنده میماند؟
مکانیسم ماندگاری Firestarter هوشمندانه و پیچیده است. بدافزار از ساختار سیستمعامل FXOS سیسکو سوءاستفاده میکند:
تغییر فهرست مانت (CSP_MOUNT_LIST)
Firestarter فایلی به نام CSP_MOUNT_LIST را تغییر میدهد. این فایل مشخص میکند چه برنامههایی هنگام بوت شدن دستگاه اجرا شوند. بدافزار خود را به این فهرست اضافه میکند.
رهگیری سیگنال خاموش شدن
هنگامی که دستگاه سیگنال خاموش شدن (graceful shutdown) دریافت میکند، Firestarter فعال میشود و اقدامات زیر را انجام میدهد:
- خود را در مسیر /opt/cisco/platform/logs/var/log/svc_samcore.log کپی میکند.
- فهرست CSP_MOUNT_LIST را بازنویسی میکند تا به جای فایل اصلی، بدافزار اجرا شود.
- پس از راهاندازی مجدد، فهرست اصلی را بازمیگرداند تا رد خود را پنهان کند.
تزریق به فرایند LINA
بدافزار خود را به LINA (هسته پردازش اصلی ASA و FTD) تزریق میکند. سپس یک هندلر قانونی WebVPN را با کد مخرب خود جایگزین میکند.
حالت خواب (Dormant Mode)
پس از استقرار، Firestarter هیچ ترافیک خروجی، هیچ رویداد سیستمی و هیچ رفتاری که قابل شناسایی باشد از خود نشان نمیدهد. این امر تشخیص آن را بسیار دشوار میکند.
فعالسازی مجدد با «بسته جادویی» (Magic Packet)
Firestarter منتظر یک درخواست احراز هویت WebVPN ویژه میماند. این درخواست حاوی یک بارکد XML جادویی است. هنگامی که بدافزار این الگو را تشخیص دهد، شلکد محصور در آن را اجرا میکند. نکته بسیار نگرانکننده این است که این فرایند به هیچ آسیبپذیری جدیدی نیاز ندارد؛ حتی اگر دستگاه کاملاً پچ شده باشد، مهاجم میتواند از این راه دوباره به آن دسترسی پیدا کند.
چرا نصب وصلههای امنیتی کافی نیست؟
سازمانها معمولاً تصور میکنند با اعمال وصله امنیتی، تهدید خنثی میشود. اما در مورد Firestarter این فرضیه اشتباه است. مهاجمان از آسیبپذیریها برای نفوذ اولیه استفاده میکنند، اما پس از نصب بدافزار، Firestarter به طور مستقل عمل میکند. وصلههای امنیتی منتشر شده در سپتامبر 2025 بدافزارهایی را که قبلاً نصب شدهاند پاک نمیکنند.
CISA (آژانس امنیت سایبری آمریکا) تأیید کرده است که حداقل یک آژانس فدرال آمریکا این بدافزار را روی دستگاههای خود داشته و حتی پس از اعمال وصله، بدافزار همچنان فعال بوده است.
برای پاکسازی و از بین بردن بدافزار Firestarter فایروال سیسکو چهکار کنیم؟
برای حذف بدافزار Firestarter فایروال سیسکو پچ کردن کافی نیست، بلکه باید اقدامات زیر را انجام دهید:
1- شناسایی با دستورات خط فرمان
مدیران شبکه باید دستور زیر را روی تمام دستگاههای خود اجرا کنند:
show kernel process | include lina_cs
هرگونه خروجی از این دستور نشانه قطعی آلودگی به Firestarter است.
همچنین وجود فایلهای زیر روی دیسک دستگاه نشانه آلودگی است:
/usr/bin/lina_cs /opt/cisco/platform/logs/var/log/svc_samcore.log
2- استفاده از قوانین YARA
CISA قوانین YARA خاصی منتشر کرده است که میتوان آنها را روی خروجی core dump دستگاه اجرا کرد.
3- قطع کامل برق فیزیکی (Hard Power Cycle)
تنها راه قطعی پاکسازی موقت، قطع کامل برق دستگاه از همه منابع تغذیه (از جمله منبع تغذیه پشتیبان) به مدت حداقل یک دقیقه است.
نکته مهم: دستورات reload، shutdown و `reboot** اثری ندارند، زیرا بدافزار سیگنال خاموش شدن را رهگیری کرده و خود را بازآفرینی میکند.
4- بازنویسی کامل تصویر سیستم (Reimaging) – راهحل نهایی
Cisco به شدت توصیه میکند که دستگاههای آلوده کاملاً بازنویسی (reimage) شده و سپس با نسخه نرمافزاری که مشکل را برطرف کرده ارتقا یابند. این روش تنها راهی است که میتواند اطمینان حاصل کند که بدافزار به طور کامل حذف شده است.
نتیجهگیری و توصیههای نهایی
بدافزار Firestarter فایروال سیسکو نشاندهنده جهشی بزرگ در تواناییهای حملات سایبری است. این بدافزار مفهوم «پچ کن و فراموش کن» (patch and forget) را به چالش میکشد. سازمانهایی که دستگاههای سیسکوی آنها بین سپتامبر 2025 تا زمان اعمال وصله در معرض اینترنت بودهاند، باید سریعاً اقدامات زیر را انجام دهند:
- شناسایی: اجرای دستور show kernel process | include lina_cs روی تمام دستگاهها
- ایزولهسازی: در صورت مشاهده علائم دستگاه را از شبکه جدا کنید
- گزارش: حادثه را به تیم امنیت سایبری سازمان مربوطه گزارش دهید
- پاکسازی کامل: اجرای بازنویسی کامل تصویر (reimaging) و سپس ارتقا به نسخه نرمافزاری ایمن
این حادثه نشان میدهد که در نبرد سایبری مدرن، حتی بهروزترین وصلهها هم نمیتوانند تضمینکننده امنیت باشند و سازمانها باید به دنبال راهحلهای دفاعی عمیقتر و فعالتر و استفاده از خدمات امنیت شبکه مطمئن باشند.



