Firestarter, un backdoor avansat care vizează direct echipamentele de rețea Cisco Firepower și Secure Firewall, persistă pe dispozitive după reboot, actualizări de firmware și de securitate, avertizează autoritățile din Statele Unite și Marea Britanie.
Analiza tehnică publicată de autorități arată că Firestarter este un implant sofisticat folosit de actori statali (UAT-4356) pentru a menține acces de lungă durată în infrastructuri critice.
Cel mai probabil, atacul începe prin exploatarea unor vulnerabilități cunoscute (CVE-2025-20333 și/sau CVE-2025-20362) din firmware-ul Adaptive Security Appliance (ASA) sau Firepower Threat Defense (FTD).
După obținerea accesului inițial, în cel puțin un incident, atacatorii au folosit un user-mode shellcode loader numit Line Viper pentru a crea sesiuni VPN neautorizate, evitând astfel mecanismele clasice de autentificare.
Agenția americană de securitate cibernetică (CISA) spune că pentru sesiunile VPN actorul malițios a folosit conturi încă existente ale unor foști angajați ai organizației vizate, ceea ce complică detectarea și face ca activitatea să pară legitimă.
Odată instalat, Firestarter funcționează ca un backdoor complet, oferind atacatorilor control de la distanță prin canale dedicate de comandă și control. Ceea ce îl diferențiază însă este mecanismul de persistență.
Malware-ul este proiectat să reziste la reboot-uri și chiar la actualizări de firmware, ceea ce îl face deosebit de dificil de eliminat. Practic, dacă dispozitivul a fost compromis înainte de aplicarea patch-urilor, doar actualizările de securitate nu sunt suficiente pentru a elimina amenințarea.
Din punct de vedere tehnic, Firestarter se integrează în nucleul software al dispozitivului, în special în componenta responsabilă de procesarea traficului de rețea (LINA – Linux-based Integrated Network Architecture), și injectează cod care poate fi executat ulterior la cererea atacatorului.
În paralel, își ascunde urmele prin modificarea fișierelor și a permisiunilor, precum și prin eliminarea mesajelor de eroare care ar putea atrage atenția.
Persistența este asigurată prin modificarea unor scripturi critice de sistem, astfel încât malware-ul să fie reîncărcat automat la fiecare pornire. În plus, acesta se poate copia în locații greu de detectat și poate restaura fișierele afectate pentru a părea legitime. Aceste tehnici îl transformă într-o amenințare aproape invizibilă pentru soluțiile tradiționale de monitorizare.
Detectarea nu este simplă. Firestarter nu generează loguri evidente sau comportamente ușor de corelat în sistemele de monitorizare obișnuite. Din acest motiv, specialiștii recomandă analiza memoriei dispozitivului și utilizarea unor reguli dedicate de tip YARA pentru identificarea indicatorilor specifici.
Eliminarea completă a malware-ului necesită un efort suplimentar. În cazul unei compromiteri confirmate, simpla repornire a echipamentului nu este de ajuns.
Cisco recomandă instalarea de imagini curate pe dispozitiv și actualizarea la ultimele versiuni disponibile. În cazul confirmării unei compromiteri a platformelor ASA sau FTD, toate elementele de configurare trebuie considerate nesigure.
Este necesară reconfigurarea tuturor parolelor, certificatelor și cheilor locale, și regenerarea tuturor celorlalte certificate și chei.
O alternativă nerecomandată este deconectarea completă a dispozitivului de la sursa de alimentare pentru o perioadă scurtă, ceea ce va elimina implantul. Totuși, această măsură poate duce la problem de boot sau funcționare pentru că include riscul coruperii bazelor de date sau a discului de stocare.
