Malware Firestarter Bertahan dari Pembaruan dan Tambalan Keamanan Firewall Cisco

Badan keamanan siber Amerika Serikat (CISA) dan Inggris (NCSC) mengeluarkan peringatan serius mengenai sebuah malware kustom yang diberi nama Firestarter. Malware ini diketahui mampu bersarang dan bertahan dengan sangat gigih pada perangkat Cisco Firepower dan Secure Firewall yang menjalankan perangkat lunak Adaptive Security Appliance (ASA) atau Firepower Threat Defense (FTD).

Pintu belakang (backdoor) ini dikaitkan dengan aktor ancaman yang dilacak secara internal oleh Cisco Talos sebagai UAT-4356, sebuah kelompok yang terkenal dengan kampanye spionase sibernya, termasuk operasi ArcaneDoor.

CISA dan NCSC meyakini bahwa musuh mendapatkan akses awal dengan mengeksploitasi masalah otorisasi yang hilang (CVE-2025-20333) dan/atau bug buffer overflow (CVE-2025-20362).

Rantai Serangan: Line Viper dan Firestarter

Dalam salah satu insiden di sebuah lembaga cabang eksekutif sipil federal AS, CISA mengamati bahwa aktor ancaman pertama-tama menyebarkan malware Line Viper, sebuah pemuat shellcode mode pengguna. Setelah itu, barulah mereka mengerahkan Firestarter, yang memungkinkan akses berkelanjutan bahkan setelah sistem ditambal.

“CISA belum mengonfirmasi tanggal pasti eksploitasi awal tetapi menilai bahwa kompromi terjadi pada awal September 2025, dan sebelum lembaga tersebut menerapkan tambalan sesuai dengan ED 25-03,” catat badan tersebut dalam peringatannya.

Line Viper digunakan untuk membuat sesi VPN dan mengakses semua detail konfigurasi, termasuk kredensial administratif, sertifikat, dan kunci privat pada perangkat Firepower yang disusupi. Selanjutnya, biner ELF untuk backdoor Firestarter disebarkan untuk persistensi, yang memungkinkan peretas mendapatkan kembali akses kapan pun dibutuhkan.

Mekanisme Persistensi Tingkat Lanjut

Begitu Firestarter bersarang di perangkat, ia dapat mempertahankan persistensinya (keberadaannya) melewati proses reboot, pembaruan firmware, dan bahkan instalasi tambalan keamanan. Lebih parahnya lagi, backdoor ini akan diluncurkan ulang secara otomatis jika prosesnya dihentikan.

Persistensi ini dicapai dengan mengaitkan diri (hooking) ke LINA, yakni proses inti Cisco ASA, dan menggunakan penangan sinyal (signal handlers) yang memicu rutinitas penginstalan ulang.

Laporan analisis malware gabungan menjelaskan bahwa Firestarter memodifikasi fail boot/mount CSP_MOUNT_LIST untuk memastikan eksekusi saat sistem dihidupkan. Malware ini menyimpan salinan dirinya di /opt/cisco/platform/logs/var/log/svc_samcore.log, dan memulihkannya ke /usr/bin/lina_cs, di mana ia kemudian berjalan diam-diam di latar belakang.

Cisco Talos mencatat bahwa mekanisme kegigihan ini terpicu ketika sinyal penghentian proses diterima, yang juga dikenal sebagai graceful reboot. Akses jarak jauh dikendalikan melalui permintaan WebVPN yang dirancang khusus untuk mengeksekusi muatan langsung di dalam memori.

Deteksi dan Mitigasi

Cisco telah menerbitkan buletin keamanan mengenai Firestarter yang berisi langkah mitigasi, solusi sementara, serta Indikator Kompromi (IoC).

Vendor tersebut “sangat menyarankan untuk mencitrakan ulang (reimaging) dan memutakhirkan perangkat menggunakan rilis yang telah diperbaiki”, yang berlaku baik untuk kasus yang sudah disusupi maupun yang belum.

• Cara Memeriksa: Administrator dapat menjalankan perintah terminal show kernel process | include lina_cs. Jika perintah tersebut menghasilkan keluaran (output) apa pun, maka perangkat tersebut harus dianggap telah disusupi.
• Solusi Alternatif (Beresiko): Jika pencitraan ulang perangkat saat ini tidak memungkinkan, Cisco menyatakan bahwa cold restart (mencabut daya perangkat secara paksa) dapat menghapus malware tersebut. Namun, alternatif ini tidak direkomendasikan karena membawa risiko kerusakan basis data atau diska yang dapat menyebabkan masalah booting yang lebih parah.

Sebagai bantuan tambahan bagi tim pertahanan, CISA juga telah membagikan dua aturan YARA yang dapat mendeteksi backdoor Firestarter ketika diterapkan pada image diska dari perangkat yang dicurigai.