Serangan terhadap perangkat network edge seperti Cisco ASA dan Firepower sering dianggap selesai setelah patch diterapkan. Namun kasus FIRESTARTER menunjukkan asumsi ini keliru. Problem utamanya bukan sekadar eksploitasi awal melalui vulnerability seperti CVE-2025-20333 (missing authorization) atau CVE-2025-20362 (buffer overflow), tetapi bagaimana attacker mengubah foothold sementara menjadi akses jangka panjang yang tidak terpengaruh remediation standar. Dalam konteks ini, firewall yang seharusnya menjadi boundary keamanan justru berubah menjadi pivot point yang persisten bagi APT.
Secara teknis, FIRESTARTER bukan malware generik, tetapi implant yang dirancang spesifik untuk environment Cisco ASA/FTD dengan pendekatan memory-level persistence. Setelah eksploitasi awal, attacker tidak langsung mengandalkan akses shell tradisional, tetapi menyuntikkan ELF binary yang berinteraksi langsung dengan proses inti LINA. Ini signifikan karena LINA adalah engine utama untuk packet processing dan security enforcement. Dengan mengakses memory map LINA, malware mengidentifikasi segmen writable (rw-p) untuk menemukan struktur internal seperti XML handler table. Di titik ini, FIRESTARTER tidak sekadar menjalankan payload, tetapi melakukan pointer hijacking mengganti handler function legitimate dengan shellcode yang dikontrol attacker.
Teknik ini memperlihatkan dua hal penting: pertama, malware beroperasi di layer yang tidak terjangkau oleh monitoring tradisional berbasis log; kedua, persistence tidak bergantung pada filesystem saja, tetapi juga pada modifikasi runtime memory. Bahkan lebih jauh, FIRESTARTER mengimplementasikan mekanisme anti-termination dengan mendaftarkan signal handler (SIGTERM, SIGINT, dll) yang akan memicu self-redeployment. Ketika proses dihentikan atau device reboot, malware menulis ulang dirinya ke lokasi persisten seperti /opt/cisco/platform/logs/var/log/ lalu menginisialisasi ulang melalui modifikasi file CSP_MOUNT_LIST. Ini bukan sekadar persistence biasa, tetapi bentuk hybrid antara file-based dan signal-triggered persistence.
Baca Juga Tentang: Persistence Access
Skenario eksploitasi realistisnya bisa terjadi pada organisasi yang mengekspos WebVPN interface ke publik. Setelah attacker mengeksploitasi CVE untuk initial access, mereka menyuntikkan FIRESTARTER ke dalam sistem. Selanjutnya, attacker tidak perlu lagi eksploitasi ulang. Mereka cukup mengirim crafted WebVPN request yang berisi XML dengan marker khusus (magic bytes). Ketika request ini diproses oleh LINA, handler yang sudah di-hook akan mengeksekusi shellcode tambahan langsung di memory. Artinya, traffic yang terlihat seperti request VPN biasa bisa menjadi trigger untuk remote code execution. Ini membuka jalur C2 yang sangat stealthy karena bercampur dengan legitimate traffic.
Dampaknya jauh melampaui kompromi satu perangkat. Karena firewall memiliki akses ke credential, certificate, dan private key, attacker dapat melakukan lateral movement dengan memanfaatkan trust relationship internal. Selain itu, penggunaan akun lama atau service account yang tidak aktif (seperti yang terlihat dalam deployment LINE VIPER) menunjukkan bahwa identity attack menjadi bagian integral dari chain ini. Dalam perspektif lebih luas, ini adalah kombinasi antara network appliance compromise dan identity persistence dua domain yang biasanya dipisahkan, tetapi di sini saling melengkapi.
Hal yang paling problematik adalah fakta bahwa patching tidak menghapus FIRESTARTER. Ini mengubah paradigma remediation: dari “patch and done” menjadi “assume persistence”. Bahkan reboot pun tidak cukup, karena malware memanfaatkan mekanisme startup script dan signal-based re-execution. Satu-satunya cara efektif yang diidentifikasi adalah hard power cycle memutus total sumber daya listrik untuk menghilangkan state tertentu yang dipertahankan malware. Ini menunjukkan bahwa persistence berada di area yang tidak sepenuhnya terdokumentasi atau terkontrol oleh sistem operasi.
Dari sisi mitigasi, pendekatan defensif harus bergeser ke memory forensics dan behavioral detection. Penggunaan YARA terhadap core dump menjadi krusial karena artefak tidak selalu muncul di disk. Selain itu, monitoring terhadap anomali WebVPN request terutama yang mengandung pola XML tidak biasa bisa menjadi early indicator. Praktisi juga perlu memperketat kontrol terhadap service account dan memastikan tidak ada akun legacy yang masih memiliki akses. Implementasi TACACS+ over TLS juga relevan untuk mencegah credential interception, tetapi tidak cukup jika device sudah terkompromi di level memory.
Insight penting bagi pentester dan security engineer adalah bahwa perangkat network edge kini menjadi target high-value dengan teknik eksploitasi setara endpoint atau server. Pendekatan seperti hooking internal function, shellcode injection ke shared library (libstdc++), dan penggunaan legitimate protocol sebagai trigger menunjukkan evolusi signifikan dalam tradecraft attacker. Ini bukan lagi sekadar eksploitasi vulnerability, tetapi engineering terhadap runtime behavior sistem target.
Baca Juga Tentang: Shellcode Injection
Kesimpulannya, FIRESTARTER bukan hanya malware persistence, tetapi representasi dari shift menuju firmware-level dan memory-resident attack pada network infrastructure. Organisasi yang masih mengandalkan patching sebagai satu-satunya kontrol akan selalu tertinggal dalam menghadapi model serangan seperti ini.
Benediktus Sava – Security Researcher
Baca Juga Artikel Terkait:
https://www.ethicalhackingindonesia.com/2026/04/eksploitasi-react2shell-massal-ratusan.html
https://www.ethicalhackingindonesia.com/2025/11/microsoft-ungkap-whisper-leak-serangan.html
