أصدرت جهات رسمية في الولايات المتحدة وبريطانيا، بالتعاون مع شركة Cisco، تحذيراً تقنياً عاجلاً حول نشاط سيبراني يعتمد على “باب خلفي” يسمى FIRESTARTER؛ وهو وسيلة غير مصرح بها تتيح الوصول إلى الأنظمة وتجاوز الإجراءات الأمنية.
يستهدف هذا الهجوم أجهزة Cisco Firepower وCisco Secure Firewall التي تعمل ببرمجيات Adaptive Security Appliance المعروفة اختصاراً بـ ASA، ونظام Firepower Threat Defense الذي يرمز له بـ FTD.
وقد كشفت التقارير الميدانية عن استغلال هذه البرمجية في هجمات فعلية طالت بيئات تشغيلية حساسة، شملت وكالة اتحادية أميركية واحدة على الأقل، وذلك ضمن حملة تجسس أوسع تقودها جهة تهديد تُعرف باسم UAT-4356.
آليات الاختراق وتعديل بيئة النظام الحيوية
تعتمد هذه الحملة، التي ترتبط تقنياً بعمليات سابقة تسمى ArcaneDoor، على استغلال ثغرتين أمنيتين حرجتين تحت المعرفين (CVE-2025-20333 بتقييم CVSS عند 9.9) و(CVE-2025-20362 بتقييم CVSS عند 6.5). يتيح هذا الاستغلال للمهاجمين الوصول غير المشروع وزرع برمجية FIRESTARTER داخل بيئة LINA، وهي المكون الأساسي المسؤول عن معالجة البيانات في أنظمة ASA وFTD العاملة على منصة FXOS.
وتكمن خطورة هذه البرمجية في قدرتها على توفير تحكم كامل عن بُعد وتنفيذ أوامر برمجية داخل الجهاز المصاب، مع الاعتماد على تقنيات متطورة لضمان البقاء والاستمرارية داخل النظام.
وتشير التفاصيل الفنية إلى أن المهاجمين نجحوا في تعديل قائمة الإقلاع (Boot List) الخاصة بمنصة Cisco Service Platform من خلال تغيير متغير يُدعى CSP_MOUNT_LIST؛ حيث يضمن هذا الإجراء إعادة تشغيل الحمولة الخبيثة تلقائياً مع كل عملية تشغيل اعتيادية للجهاز.
تبدأ دورة التنفيذ بنسخ البرمجية إلى مسار مؤقت تحت مسمى svc_samcore.log، ثم إعادة زراعتها في المسار lina_cs قبل بدء التشغيل الفعلي، مع تعمد حذف النسخة المؤقتة لاحقاً لإخفاء أي آثار رقمية قد تكشف عملية التسلل.
تحديات الاستمرارية وسبل الكشف والمعالجة
أكدت التحديثات الصادرة في 23 أبريل 2026 تطور آلية الاستمرارية لدى المهاجمين؛ حيث أصبحت البرمجية قادرة في حالات معينة على البقاء حتى بعد الترقية إلى الإصدارات الأمنية المصححة.
ويشمل نطاق التأثر سلسلة واسعة من المنصات، منها طرازات Firepower فئات 1000 و2100 و4100 و9300، بالإضافة إلى Secure Firewall من فئات 1200 و3100 و4200. وتوضح Cisco أن الفحص الفوري للمسارين lina_cs وsvc_samcore.log، واستخدام الأمر البرمجي show kernel process | include lina_cs يعدان من الضرورات التقنية للتحقق من سلامة الأجهزة، إلى جانب تفعيل قواعد الحماية في نظام Snort.
وتوصي Cisco Talos ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) بضرورة إعادة تهيئة الأجهزة المتضررة بالكامل كخيار أكثر موثوقية لإزالة الأثر الخبيث، خاصة وأن التحديثات التقليدية قد لا تكفي لاحتواء الإصابة في بعض الأجهزة.
ويعكس هذا التهديد توجهاً متزايداً نحو استهداف الأجهزة الطرفية (Edge Devices)، ما يفرض على المؤسسات ضرورة مراجعة سلامة مكونات الإقلاع والملفات الجذرية للأنظمة، وعدم الاكتفاء بتثبيت الرقع الأمنية كإجراء وقائي وحيد.
