FIRESTARTER backdoor
A CISA és az brit NCSC egy klasszikus, többfázisú kompromittációs mintát mutat, ahol egy Cisco tűzfal sérülékenységét nem önmagában, hanem perzisztens hozzáférés kiépítésére használták. A támadás 2025 szeptemberében kezdődött, amikor a támadók egy kritikus Cisco ASA/FTD sérülékenységet kihasználva behatoltak egy amerikai kormányzati ügynökség hálózatába. A kezdeti exploit lehetővé tette a kódfuttatást és az eszköz feletti kontroll megszerzését, azonban a lényegi kockázat nem itt, hanem a post-exploitation fázisban jelent meg.
A támadók a kompromittált eszközre egy FIRESTARTER backdoort-t telepítettek, amely tartós hozzáférést biztosított, így a támadók hónapokkal később – 2026 márciusában – újra beléphettek a rendszerbe anélkül, hogy újra ki kellett volna használniuk az eredeti sérülékenységet.
A firmware-frissítés és patching önmagában nem volt elegendő a javításra, a már kompromittált eszközökön a backdoor fennmaradt, így a támadás patch-resilient módon perzisztens maradt.
A CISA értékelése szerint ez a támadási modell különösen veszélyes, mert a hálózati biztonsági eszközök kompromittálása teljes forgalmi láthatóságot és kontrollt adhat a támadónak. Emellett az ilyen eszközök gyakran trusted pozícióban vannak, így a detekció nehezebb, és a támadó laterális mozgása is egyszerűbbé válik.
