Backdoor FIRESTARTER Serang Perangkat Cisco Firepower Federal, Bertahan Usai Patch

Backdoor FIRESTARTER berhasil menyerang perangkat Cisco Firepower milik instansi federal AS yang menjalankan perangkat lunak Adaptive Security Appliance (ASA) pada September 2025. Meski sudah dirilis patch keamanan untuk mengatasi kerentanan, malware ini dilaporkan tetap bertahan dan berpotensi membuka akses berkelanjutan ke jaringan penting pemerintah.

Serangan Malware FIRESTARTER pada Perangkat Cisco ASA dan Firepower

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) bersama National Cyber Security Centre (NCSC) Inggris mengungkapkan bahwa FIRESTARTER adalah sebuah backdoor yang dirancang untuk akses dan kontrol jarak jauh pada perangkat Cisco ASA dan Firepower Threat Defense (FTD). Malware ini diperkirakan bagian dari kampanye luas yang dijalankan oleh kelompok ancaman canggih (APT) dengan mengeksploitasi celah keamanan yang kini sudah dipatch, seperti:

• CVE-2025-20333 (skor CVSS: 9.9) – kerentanan validasi input yang buruk pada VPN, memungkinkan penyerang terautentikasi menjalankan kode arbitrer sebagai root melalui HTTP request khusus.
• CVE-2025-20362 (skor CVSS: 6.5) – kerentanan validasi input yang buruk memungkinkan penyerang tanpa autentikasi mengakses endpoint URL terbatas.

“FIRESTARTER dapat bertahan sebagai ancaman aktif pada perangkat Cisco yang menjalankan ASA atau FTD, bahkan setelah patch diterapkan, memungkinkan pelaku ancaman mengakses kembali perangkat yang terinfeksi tanpa harus mengeksploitasi ulang kerentanan,” ujar CISA dan NCSC.

Teknik Persistensi dan Toolkit Pasca Eksploitasi LINE VIPER

Dalam insiden yang diteliti, pelaku serangan menggunakan toolkit pasca eksploitasi bernama LINE VIPER yang mampu menjalankan perintah CLI, menangkap paket data, melewati otentikasi VPN, menekan pesan syslog, mengambil perintah CLI pengguna, dan memicu reboot dengan delay.

LINE VIPER menjadi jalur bagi FIRESTARTER untuk dipasang pada perangkat Firepower sebelum 25 September 2025, memungkinkan penyerang mempertahankan akses bahkan hingga bulan lalu. Malware ini berupa binary Linux ELF yang menanamkan diri ke dalam urutan boot perangkat dengan memanipulasi daftar mount startup, sehingga secara otomatis aktif kembali setelah reboot normal. Hanya dengan power cycle keras (mematikan dan mencabut sumber listrik), malware ini bisa dihilangkan.

FIRESTARTER memasang hook pada LINA, inti proses keamanan dan pengolahan jaringan perangkat, yang memungkinkan pelaku menjalankan shellcode arbitrer, termasuk memasang LINE VIPER. Hal ini menjadikan patch firmware standar tidak efektif menghapus malware jika perangkat sudah terinfeksi sebelum patch diterapkan.

Respons Cisco dan Rekomendasi Mitigasi

Cisco, yang mengawasi aktivitas eksploitasi ini dengan kode UAT4356 (alias Storm-1849), menjelaskan FIRESTARTER sebagai backdoor yang memproses permintaan WebVPN khusus berisi "magic packet". Cisco merekomendasikan agar perangkat yang terkonfirmasi terinfeksi untuk di-reimage dan di-upgrade, serta semua konfigurasi dianggap tidak dapat dipercaya.

Untuk mitigasi sementara, pengguna disarankan melakukan cold restart dengan mencabut kabel listrik perangkat, karena perintah shutdown, reboot, atau reload saja tidak menghapus implant malware ini. Cisco menegaskan:

“Shutdown, reboot, dan reload CLI tidak akan menghapus implant persisten berbahaya. Kabel listrik harus dicabut dan dipasang kembali.”

Konstelasi Ancaman yang Lebih Besar: Botnet dan Jaringan Tersembunyi China

Pengungkapan ini juga bertepatan dengan peringatan bersama AS, Inggris, dan mitra internasional lain terkait jaringan besar router SOHO dan perangkat IoT yang dikompromikan oleh aktor ancaman berafiliasi China. Jaringan ini digunakan untuk menyamarkan serangan spionase siber dan menyulitkan pelacakan.

• Botnet terdiri dari router rumah, kamera keamanan, dan perangkat IoT lain yang disusupi.
• Digunakan oleh kelompok seperti Volt Typhoon dan Flax Typhoon untuk menyerang infrastruktur kritis secara low-cost, low-risk, dan dapat disangkal.
• Jaringan selalu diperbarui dan bisa dipakai bersama oleh beberapa kelompok, membuat pemblokiran menggunakan daftar IP statis menjadi kurang efektif.

Temuan ini menegaskan pola umum serangan siber negara: menargetkan perangkat jaringan perimeter di rumah, perusahaan, dan pemerintah untuk dijadikan node proxy atau penyadapan data sensitif.

Analisis Redaksi

Menurut pandangan redaksi, keberadaan backdoor FIRESTARTER yang mampu bertahan melewati patch keamanan menandai tantangan serius dalam keamanan perangkat jaringan kritis, khususnya yang digunakan oleh instansi pemerintah. Patch saja tidak cukup jika perangkat sudah terinfeksi, sehingga pendekatan keamanan harus menyertakan prosedur hard reset dan reimaging perangkat secara menyeluruh.

Lebih luas lagi, kasus ini menggarisbawahi risiko sistem jaringan yang semakin kompleks dan terhubung, di mana malware dengan persistensi tinggi dapat menciptakan celah besar untuk spionase dan sabotase. Ancaman botnet yang dikelola negara-negara seperti China memperlihatkan bahwa perang siber kini melibatkan taktik tersembunyi dan penggunaan infrastruktur luas yang sulit dideteksi.

Ke depan, pemerintah dan sektor swasta harus meningkatkan kolaborasi intelijen siber, memperkuat deteksi anomali, dan mempercepat pembaruan serta penanganan insiden. Selain itu, edukasi dan prosedur standar yang jelas untuk mitigasi serangan backdoor seperti FIRESTARTER wajib diterapkan secara ketat.

Untuk informasi lebih lanjut dan pembaruan terkini, kunjungi sumber asli di The Hacker News dan pantau berita keamanan siber terpercaya.