كشفت تقارير أمنية عن برمجية FIRESTARTER الخبيثة التي استهدفت أجهزة سيسكو (Cisco)، حيث تواصل الاختراق حتى بعد تثبيت التحديثات الأمنية الأخيرة وفق تيكبامين.
ما هي برمجية FIRESTARTER الخبيثة؟
تعد برمجية FIRESTARTER بمثابة "باب خلفي" (Backdoor) متطور تم تصميمه لتوفير وصول غير مصرح به والتحكم الكامل عن بُعد في أجهزة سيسكو. وحسب تقرير تيكبامين، يتم نشر هذه البرمجية كجزء من حملات واسعة النطاق تنفذها مجموعات تهديد متقدمة (APT) للوصول إلى أنظمة Cisco ASA عبر استغلال ثغرات أمنية تم تصحيحها سابقاً.
تتميز هذه البرمجية بقدرتها الفائقة على التخفي، مما يجعل اكتشافها من قبل الأنظمة الأمنية التقليدية أمراً بالغ الصعوبة، خاصة وأنها تستهدف النواة الأساسية لمعالجة البيانات في أجهزة الشبكات.
كيف تنجو برمجية FIRESTARTER من التحديثات الأمنية؟
تكمن الخطورة الحقيقية لهذه البرمجية في قدرتها على البقاء نشطة داخل أجهزة سيسكو ASA أو Firepower حتى بعد تطبيق التحديثات الأمنية. فهي تضمن لنفسها مكاناً دائماً في نظام التشغيل يسمح للمهاجمين بالعودة للجهاز المصاب دون الحاجة لاستغلال الثغرات مرة أخرى.
آلية عمل البرمجية في التخفي والبقاء:
- التلاعب بتسلسل الإقلاع: تدرج البرمجية نفسها ضمن قائمة التشغيل التلقائي للجهاز.
- مقاومة التحديثات: لا يتم حذف البرمجية عند تحديث البرامج الثابتة (Firmware).
- الارتباط بالنظام: تزرع "خطافاً" أمنياً داخل محرك LINA المسؤول عن وظائف الأمن والشبكة.
ما هو دور أدوات LINE VIPER في الهجمات السيبرانية؟
خلال التحقيقات، وُجد أن المهاجمين يستخدمون مجموعة أدوات متقدمة تُعرف باسم LINE VIPER بعد نجاح عملية الاختراق الأولي. توفر هذه الأدوات قدرات تحكم واسعة للمهاجمين تجعل الجهاز المخترق تحت سيطرتهم الكاملة.
أبرز قدرات مجموعة LINE VIPER:
- تنفيذ أوامر واجهة السطر البرمجي (CLI) بشكل كامل.
- القيام بعمليات التقاط حزم البيانات الحساسة المارة عبر الجهاز.
- تجاوز بروتوكولات المصادقة في شبكات VPN الخاصة بالمؤسسات.
- إخفاء رسائل سجل النظام (Syslog) لضمان عدم لفت انتباه مسؤولي الشبكة.
- إجبار الجهاز على إعادة التشغيل بشكل مفاجئ أو متأخر.
كيف يمكن حماية أجهزة سيسكو من الاختراقات المتقدمة؟
على الرغم من إصدار سيسكو لتحديثات تعالج الثغرات CVE-2025-20333 وCVE-2025-20362، إلا أن الأجهزة التي تعرضت للاختراق قبل التحديث تظل مصابة. تشير التحليلات إلى أن الطريقة الوحيدة لضمان خلو الجهاز من البرمجية هي إجراء عملية "دورة طاقة صلبة" (Hard Power Cycle).
ينصح خبراء الأمن بضرورة مراقبة حركة الشبكة بشكل دقيق والتحقق من سجلات الأوامر المنفذة على أجهزة Firewall باستمرار. إن الاعتماد فقط على التحديثات التلقائية قد لا يكون كافياً لمواجهة برمجيات متطورة مثل FIRESTARTER التي تهدف إلى البقاء الدائم داخل البنية التحتية الرقمية للمؤسسات.
