انتشرت من جديد برمجية خبيثة باسم “فاير ستارتر” على الرغم من تحديثات جدران الحماية الخاصة بسيسكو وتصحيحات الأمان

تحذير من سيسكو تالوس حول برمجية خبيثة جديدة تستهدف أجهزة Firepower و Secure Firewall غير المحدثة

حذر خبراء الأمن السيبراني من ظهور برمجية خبيثة حديثة تحمل اسم Firestarter، والتي تستهدف أجهزة جدران الحماية من نوع Firepower و Secure Firewall التي لم تتلقَ تحديثات أمان بعد. وتتمتع هذه البرمجية بالقدرة على البقاء على الأجهزة حتى بعد عمليات إعادة التشغيل، وتثبيت التصحيحات، وتحديثات البرنامج الثابت.

البرمجية الخبيثة Firestarter تستهدف أجهزة معينة

أوضح فريق Cisco Talos أن Firestarter يعمل فقط على الأجهزة التي تستخدم برمجيات Adaptive Security Appliance (ASA) أو Firepower Threat Defense (FTD). وتم تطويرها بواسطة جهة تهديد معروفة باسم UAT-4356، والتي كانت Cisco تحذر من نشاطاتها منذ أكثر من عامين.

استغلال ثغرات أمنية مسبقة

في منتصف عام 2024، أشار خبراء Cisco إلى أن جهات تهديد متطورة، يُعتقد أن لها صلات بدول شرقية، استغلت ثغرتين في VPNs وجدران الحماية الخاصة بـ Cisco لنشر برمجيات خبيثة. كان ذلك من خلال استغلال ثغرتين معروفتين بالرموز CVE-2024-20353 و CVE-2024-20359.

استغلال ثغرات جديدة وتطوير الهجمات

أما الآن، فالهجوم يستغل ثغرتين جديدتين، وهما CVE-2025-20333 المعروفة بمشكلة عدم وجود تفويض، و CVE-2025-20362 المتعلقة بالتجاوز في حجم البيانات (Buffer Overflow). يستخدم المهاجمون هاتين الثغرتين لنشر برمجية Line Viper، وهي برمجية خبيثة تستخدم كـ “محمّل أوامر” في وضع المستخدم، قبل أن يتم تركيب Firestarter.

قدرات البرمجية الخبيثة

تمكن برمجية Line Viper من تنفيذ أوامر من سطر الأوامر عبر واجهة سطر الأوامر (CLI)، والتقاط الحزم، وتجاوز إجراءات التوثيق والمصادقة VPN، والتلاعب بسجلات النظام (syslog)، وسرقة أوامر CLI الخاصة بالمستخدم، وأيضًا إجبار الجهاز على إعادة التشغيل بشكل متأخر.

استهداف وكالة فيدرالية

على الأقل، تعرضت إحدى الوكالات الفيدرالية المدنية (FCEB) للاختراق خلال الفترة بين إصدار التصحيحات وتطبيقها على الأجهزة. وقالت وكالة الأمن السيبراني الأمريكية (CISA) إن التقييم الأولي يشير إلى أن الاختراق حدث في أوائل سبتمبر 2025، قبل أن تقوم الوكالة بترقية أجهزتها وفقًا للتعليمات الرسمية.

كيفية استمرار البرمجية في العمل

تقوم البرمجية بتعديل قائمة بدء التشغيل على الأجهزة المصابة لضمان استمرار وجودها حتى بعد إعادة التشغيل، مما يصعب إزالتها.

ما الذي يجب على المستخدمين فعله؟

إذا كنت تستخدم أجهزة Firepower أو Secure Firewall، يُنصح بشدة بقراءة التحذيرات الأمنية التي أصدرتها Cisco، وتطبيق التحديثات المتوفرة بشكل عاجل، وإعادة تهيئة الأجهزة إذا لزم الأمر. توصي الشركة أيضًا بترقية الأجهزة إلى الإصدارات المصححة لضمان الحماية من الهجمات المستقبلية.

للحصول على مزيد من التفاصيل، يمكن الاطلاع على التحذير الأمني الكامل من Cisco عبر الرابط المرفق.

المصدر: ذا هاكر نيوز، وTechRadar

المصدر: Latest from TechRadar