CISA: Agensi AS Diretas Melalui Kerentanan Cisco, Backdoor 'FIRESTARTER' Beri Akses hingga Maret
Baca dalam 60 detik
- Sebuah agensi sipil AS berhasil diretas melalui kerentanan firewall Cisco (ASA/FTD) menggunakan dua malware utama: FIRESTARTER dan Line Viper.
- Malware FIRESTARTER bertindak sebagai backdoor yang memungkinkan peretas mempertahankan akses persisten ke jaringan hingga Maret 2026, meskipun celah kerentanan aslinya telah ditambal.
- CISA mengeluarkan peringatan darurat bagi seluruh badan federal AS untuk memeriksa infeksi malware, dengan dugaan kuat bahwa serangan ini diotaki oleh kelompok peretas yang didukung pemerintah Tiongkok.
Sebuah agensi pemerintah Amerika Serikat dilaporkan telah diretas oleh peretas canggih pada bulan September lalu melalui celah kerentanan pada firewall Cisco. Badan Keamanan Siber dan Infrastruktur AS (CISA) mengungkapkan bahwa peretas menggunakan malware bernama "FIRESTARTER" yang memungkinkan mereka mempertahankan akses (backdoor) ke perangkat Cisco tersebut hingga bulan Maret tanpa harus mengeksploitasi ulang kerentanan awalnya.
Fakta Kunci Insiden Peretasan:
- Kerentanan yang Dieksploitasi: CVE-2025-30333 dan CVE-2025-20362 pada lini produk Cisco Adaptive Security Appliances (ASA) dan Firepower Threat Defense (FTD).
- Malware yang Digunakan: FIRESTARTER untuk persistensi akses, dan Line Viper untuk menembus autentikasi VPN.
- Status Terkini: Perangkat yang telah ditambal (patch) setelah terinfeksi FIRESTARTER masih tetap rentan karena peretas sudah menanamkan akses persisten di dalamnya.
Mekanisme Serangan dan Malware
Sistem Adaptive Security Appliance (ASA) dari Cisco sangat populer di kalangan pemerintah dan perusahaan besar karena fungsinya yang merangkap sebagai firewall, pencegah intrusi, penyaring spam, hingga antivirus. CISA mendeteksi anomali ini melalui program pemantauan berkelanjutan mereka pada perangkat Cisco Firepower milik salah satu agensi AS.
| Nama Malware | Fungsi dan Dampak dalam Serangan |
|---|---|
| FIRESTARTER | Mempertahankan akses ke perangkat yang disusupi. Memungkinkan peretas kembali masuk pada Maret 2026 tanpa perlu eksploitasi ulang, meskipun celah awal sudah ditambal oleh administrator. |
| Line Viper | Membangun sesi Virtual Private Network (VPN) ilegal yang melewati semua kebijakan autentikasi, memberikan akses penuh ke kredensial admin, sertifikat, dan kunci pribadi. |
Keterlibatan Aktor yang Didukung Negara
Meskipun CISA menolak menyebutkan secara eksplisit negara mana yang mendalangi serangan ini, investigasi sebelumnya yang dilaporkan oleh Wired dan analisis ekstensif dari Cisco menunjukkan bahwa kampanye serangan ini selaras dengan kepentingan negara Tiongkok. Serangan ini diyakini memiliki kaitan erat dengan kelompok peretas "ArcaneDoor" yang ditemukan pada tahun 2024, serta taktik jaringan selubung yang biasa digunakan oleh kelompok Volt Typhoon dan Flax Typhoon.
"Instansi yang telah menyelesaikan persyaratan pembaruan keamanan masih rentan terhadap persistensi (dari malware) dan oleh karena itu harus menyelesaikan tindakan yang diwajibkan dalam arahan terbaru... Organisasi tidak boleh mencabut (unplug) perangkat kecuali diarahkan oleh CISA," tegas CISA dalam peringatan resminya.
Arahan Baru untuk Agensi Federal
CISA, bekerja sama dengan Pusat Keamanan Siber Nasional Inggris (NCSC), telah merilis pedoman baru terkait temuan ini. CISA memerintahkan seluruh agensi sipil federal untuk menyerahkan konfirmasi pemeriksaan malware selambat-lambatnya pada hari Jumat tengah malam, dan wajib memberikan inventaris perangkat Cisco Firepower mereka paling lambat tanggal 1 Mei. Laporan komprehensif mengenai kampanye serangan ini akan diserahkan kepada Direktur Siber Nasional dan jajaran pemimpin Gedung Putih pada 1 Agustus mendatang.
