미국 사이버보안 및 인프라 보안국(CISA)은 2025년 9월에 한 연방 민간 기관의 Cisco Firepower 장치가 침해되었다고 보고했습니다. 이 공격은 지속적인 원격 접근을 위한 백도어로 설계된 FIRESTARTER라는 새로운 악성코드를 사용했습니다. 이 발견은 영국 국가사이버보안센터(NCSC)와 함께 공유되었습니다.
FIRESTARTER: 보안 업데이트를 무시하는 백도어 🔥
FIRESTARTER 악성코드는 공격자가 침해된 장치에 대한 원격 제어를 유지할 수 있도록 하는 백도어로 작동합니다. 가장 우려되는 점은 Adaptive Security Appliance(ASA) 소프트웨어를 실행하는 Cisco Firepower 장비에 적용된 보안 패치에서 살아남았다는 것입니다. 이는 악성코드가 메모리에 숨거나 문서화되지 않은 펌웨어 결함을 악용하는 등 고급 지속성 기술을 사용하여 기존 패치 방법으로 탐지 및 제거를 어렵게 만든다는 것을 나타냅니다.
아무것도 패치하지 않았지만 여전히 비용이 청구된 패치 💀
네트워크 관리자들은 편히 잠들기 위해 패치를 적용했지만, FIRESTARTER는 월세를 내지 않는 세입자처럼 라우터에 계속 살기로 결정했습니다. CISA와 NCSC는 이제 로그 검토를 권장하지만, 공격자는 가상 커피를 즐기는 동안 이미 흔적을 지웠을 것입니다. 이 악성코드보다 더 지속적인 것은 비밀번호 변경 승인을 위한 관료주의뿐입니다.