أصدرت جهات رسمية في الولايات المتحدة وبريطانيا، بالتعاون مع شركة Cisco، تحذيراً تقنياً عاجلاً حول نشاط سيبراني يعتمد على “باب خلفي” يسمى FIRESTARTER؛ وهو وسيلة غير مصرح بها تتيح الوصول إلى الأنظمة وتجاوز الإجراءات الأمنية.
يستهدف هذا الهجوم أجهزة Cisco Firepower وCisco Secure Firewall التي تعمل ببرمجيات Adaptive Security Appliance المعروفة اختصاراً بـ ASA، ونظام Firepower Threat Defense الذي يرمز له بـ FTD.
وقد كشفت التقارير الميدانية عن استغلال هذه البرمجية في هجمات فعلية طالت بيئات تشغيلية حساسة، شملت وكالة اتحادية أميركية واحدة على الأقل، وذلك ضمن حملة تجسس أوسع تقودها جهة تهديد تُعرف باسم UAT-4356.
آليات الاختراق وتعديل بيئة النظام الحيوية
تعتمد هذه الحملة، التي ترتبط تقنياً بعمليات سابقة تسمى ArcaneDoor، على استغلال ثغرتين أمنيتين حرجتين تحت المعرفين (CVE-2025-20333 بتقييم CVSS عند 9.9) و(CVE-2025-20362 بتقييم CVSS عند 6.5). يتيح هذا الاستغلال للمهاجمين الوصول غير المشروع وزرع برمجية FIRESTARTER داخل بيئة LINA، وهي المكون الأساسي المسؤول عن معالجة البيانات في أنظمة ASA وFTD العاملة على منصة FXOS.
وتكمن خطورة هذه البرمجية في قدرتها على توفير تحكم كامل عن بُعد وتنفيذ أوامر برمجية داخل الجهاز المصاب، مع الاعتماد على تقنيات متطورة لضمان البقاء والاستمرارية داخل النظام.
وتشير التفاصيل الفنية إلى أن المهاجمين نجحوا في تعديل قائمة الإقلاع (Boot List) الخاصة بمنصة Cisco Service Platform من خلال تغيير متغير يُدعى CSP_MOUNT_LIST؛ حيث يضمن هذا الإجراء إعادة تشغيل الحمولة الخبيثة تلقائياً مع كل عملية تشغيل اعتيادية للجهاز.
تبدأ دورة التنفيذ بنسخ البرمجية إلى مسار مؤقت تحت مسمى svc_samcore.log، ثم إعادة زراعتها في المسار lina_cs قبل بدء التشغيل الفعلي، مع تعمد حذف النسخة المؤقتة لاحقاً لإخفاء أي آثار رقمية قد تكشف عملية التسلل.
يستهدف هذا الهجوم أجهزة Cisco Firepower وCisco Secure Firewall التي تعمل ببرمجيات Adaptive Security Appliance المعروفة اختصاراً بـ ASA، ونظام Firepower Threat Defense الذي يرمز له بـ FTD.
وقد كشفت التقارير الميدانية عن استغلال هذه البرمجية في هجمات فعلية طالت بيئات تشغيلية حساسة، شملت وكالة اتحادية أميركية واحدة على الأقل، وذلك ضمن حملة تجسس أوسع تقودها جهة تهديد تُعرف باسم UAT-4356.
آليات الاختراق وتعديل بيئة النظام الحيوية
تعتمد هذه الحملة، التي ترتبط تقنياً بعمليات سابقة تسمى ArcaneDoor، على استغلال ثغرتين أمنيتين حرجتين تحت المعرفين (CVE-2025-20333 بتقييم CVSS عند 9.9) و(CVE-2025-20362 بتقييم CVSS عند 6.5). يتيح هذا الاستغلال للمهاجمين الوصول غير المشروع وزرع برمجية FIRESTARTER داخل بيئة LINA، وهي المكون الأساسي المسؤول عن معالجة البيانات في أنظمة ASA وFTD العاملة على منصة FXOS.
وتكمن خطورة هذه البرمجية في قدرتها على توفير تحكم كامل عن بُعد وتنفيذ أوامر برمجية داخل الجهاز المصاب، مع الاعتماد على تقنيات متطورة لضمان البقاء والاستمرارية داخل النظام.
وتشير التفاصيل الفنية إلى أن المهاجمين نجحوا في تعديل قائمة الإقلاع (Boot List) الخاصة بمنصة Cisco Service Platform من خلال تغيير متغير يُدعى CSP_MOUNT_LIST؛ حيث يضمن هذا الإجراء إعادة تشغيل الحمولة الخبيثة تلقائياً مع كل عملية تشغيل اعتيادية للجهاز.
تبدأ دورة التنفيذ بنسخ البرمجية إلى مسار مؤقت تحت مسمى svc_samcore.log، ثم إعادة زراعتها في المسار lina_cs قبل بدء التشغيل الفعلي، مع تعمد حذف النسخة المؤقتة لاحقاً لإخفاء أي آثار رقمية قد تكشف عملية التسلل.