CISA ve İngiltere NCSC,
23 Nisan 2026'da ortaklaşa Firestarter backdoor uyarısı yayımladı. Saldırganlar Cisco Talos'un
UAT-4356 olarak takip ettiği, 2024 ArcaneDoor kampanyasıyla bağlantılı devlet destekli aktördür.
Saldırı zinciri:
- Giriş: CVE-2025-20333 (missing authorization) ve/veya CVE-2025-20362 (buffer overflow) üzerinden internet bağlantılı cihaza erişim
- LINE VIPER: User-mode shellcode loader ile VPN oturumları kuruldu; yönetici kimlik bilgileri, sertifikalar ve private key'ler çalındı
- Firestarter: ELF binary, LINA çekirdeğine sinyal handler kancalayarak yerleşti
Neden bu kadar tehlikeli: Firestarter,
CSP_MOUNT_LIST önyükleme dosyasını değiştirerek başlangıçta çalışmayı garantiliyor; yeniden başlatma, firmware güncelleme ve güvenlik yamalarına rağmen varlığını sürdürüyor. Kaldırmak için
yalnızca fiziksel güç kesimi çalışıyor. CISA, kanıt imhası riskine karşı ajansların güç kesmeden önce koordinasyon sağlamasını zorunlu kıldı.
Ayrıca
/opt/cisco/platform/logs/var/log/svc_samcore.log dosyası Firestarter'ın kopyasını saklıyor;
/usr/bin/lina_cs'e geri yükleyerek arka kapıyı yeniden çalıştırıyor.