Giriş
Küresel siber güvenlik ajansları, Cisco Firepower ve Secure Firewall cihazlarında aktif olarak bulunan “Firestarter” adlı özel kötü amaçlı yazılım hakkında uyarılarda bulunuyor. Bu tehdidin önemi, kurumsal sistemlerde uzun süreli kalıcılığı ve güncellemeler sonrasında bile erişim sağlayabilme yeteneğidir.
Saldırı Nasıl Çalışıyor?
Firestarter, Cisco Talos’un UAT-4356 olarak adlandırdığı tehdit aktörü tarafından geliştirilmiştir ve başlangıçta CVE-2025-20333 kodlu yetkilendirme eksikliği ve/veya CVE-2025-20362 kodlu tampon taşması hatasından faydalanarak öncelikli erişim elde edilmiştir. CISA, bir federal sivil yönetim kurumu örneğinde, tehdit aktörünün önce “Line Viper” kötü amaçlı yazılımını dağıttığını ve ardından Firestarter’ı kullanarak sistemlere kalıcı erişim sağlamaya başladığını gözlemlemiştir.
Bir kez yerleştirildiğinde, Firestarter:
- Cihaz yeniden başlatılmadan veya güncelleme yapılmadan kalıcılığını koruyabilir.
- Yetkisiz erişim sağlamak için LINA, yani Cisco ASA’nın temel işlemi ile entegre olur.
- Başlatma sırasında yürütülmesini sağlamak için CSP_MOUNT_LIST dosyasını değiştirir.
- Kendisine ait bir kopyayı /opt/cisco/platform/logs/var/log/svc_samcore.log yoluna kaydederek, /usr/bin/lina_cs’ye geri yüklenmesini sağlar.
Ayrıca, Firestarter’ın kalıcılık mekanizması, bir sürecin sonlandırılma sinyali aldığında tetiklenmektedir.
Etkilenen Sistemler
Firestarter’ın etki alanı, Cisco cihazlarının:
- Adaptive Security Appliance (ASA)
- Firepower Threat Defense (FTD)
yazılımını kullanan sistemlerle sınırlıdır.
CISA, güvenlik güncellemeleri uygulanmadan önce kullanıcının sistemlere sızmış olabileceğini belirtmiştir. Cisco, tehlikenin tespit edilmesi için ‘show kernel process | include lina_cs’ komutunun çalıştırılmasını önermektedir. Bu komuttan herhangi bir çıktı alınması durumunda, cihazın tehlikeye girmiş olduğunu belirtmektedir.
Çözüm ve Korunma
Cisco, Firestarter için güvenlik uyarıları yayınlamış ve şu önlemleri önermiştir:
- Sistemi imajını yeniden yükleme ve cihazı güncelleme işlemi gerçekleştirilmelidir.
- Eğer yeniden yükleme mümkün değilse, cihazın elektrik bağlantısının kesilmesi, kötü amaçlı yazılımın kaldırılması için bir alternatif oluşturur. Ancak, veri kaybı veya başlatma sorunları riskini taşıdığı için önerilmez.
CISA ayrıca Firestarter’ı tespit etmek için iki adet YARA kuralı paylaşmış, bunların disk görüntülerine veya cihazdan alınan çekirdek dökümlerine uygulanabileceğini ifade etmiştir.
Son olarak, Cisco’nun sağladığı güvenlik danışmanlığı, kötü amaçlı yazılımın kalıcılığını kaldırmak için geçici çözümler sunmaktadır ve kullanıcıların bu bilgileri dikkate almasını önermektedir.
Aksiyon
Sistemlerinizi korumak için:
- Cihazlarınızda güncellemeleri ve güvenlik yamanızı derhal uygulayın.
- Kötü amaçlı yazılımın tespit edilmesi için önerilen komutları çalıştırın.
- Gerekirse, cihazları yeniden imajlayın veya yeniden başlatma işlemleri gerçekleştirin.
Unutmayın ki, aktif güncellemeler uygulamak ve güvenlik danışmanlarını dinlemek, sistemlerinizin güvenliğini sağlamak açısından kritik öneme sahiptir.
