L’Agència de Ciberseguretat i Seguretat d’Infraestructures dels Estats Units (CISA) ha revelat que un dispositiu Cisco Firepower d’una agència civil federal anònima que executava el programari Adaptive Security Appliance (ASA) va ser compromès el setembre de 2025 amb un nou programari maliciós anomenat FIRESTARTER.

FIRESTARTER, segons la CISA i el Centre Nacional de Ciberseguretat (NCSC) del Regne Unit, és una porta del darrere dissenyada per a l’accés i el control remots. Es creu que s’ha implementat com a part d’una campanya «generalitzada» orquestrada per un actor d’amenaces persistents avançades (APT) per obtenir accés al microprogramari de Cisco Adaptive Security Appliance (ASA) i explotar fallades de seguretat ja corregides com ara:

• CVE-2025-20333 (puntuació CVSS: 9,9): una validació incorrecta d’una vulnerabilitat d’entrada proporcionada per l’usuari que podria permetre que un atacant remot autenticat amb credencials d’usuari VPN vàlidi executar codi arbitrari com a root en un dispositiu afectat mitjançant l’enviament de sol·licituds HTTP manipulades.
• CVE-2025-20362 (puntuació CVSS: 6,5): una validació incorrecta d’una vulnerabilitat d’entrada proporcionada per l’usuari que podria permetre que un atacant remot no autenticat accedeixi a punts finals d’URL restringits sense autenticació enviant sol·licituds HTTP manipulades.

«FIRESTARTER pot persistir com una amenaça activa en dispositius Cisco que executen programari ASA o Firepower Threat Defense (FTD), i mantenir la persistència posterior a l’aplicació de pegats tot permetent que els actors d’amenaces tornin a accedir als dispositius compromesos sense tornar a explotar vulnerabilitats», van dir les agències.

En l’incident investigat, s’ha descobert que els actors d’amenaça van desplegar un conjunt d’eines postexplotació anomenat LÍNIA VIPER que pot executar ordres CLI, dur a terme captures de paquets, eludir l’autenticació, l’autorització i la comptabilitat VPN (AAA) per a dispositius d’actor, suprimir missatges de syslog, recopilar ordres CLI d’usuari i forçar un reinici retardat.

L’accés elevat que ofereix LINE VIPER va servir com a conducte per a FIRESTARTER, que es va desplegar al dispositiu Firepower abans del 25 de setembre de 2025, cosa que va permetre que els actors d’amenaces mantinguessin l’accés continu i tornessin al dispositiu compromès el mes passat.

FIRESTARTER, un binari ELF de Linux, pot configurar la persistència al dispositiu i sobreviure a les actualitzacions de microprogramari i als reinicis del dispositiu tret que es produeixi un cicle d’engegada. El programari maliciós s’allotja a la seqüència d’arrencada del dispositiu i manipula una llista de muntatge d’inici, cosa que garanteix que es reactivi automàticament cada vegada que el dispositiu es reinicia normalment. A part de la resiliència, també comparteix cert nivell de superposició amb un kit d’arrencada documentat anteriorment anomenat RayInitiator.

«FIRESTARTER intenta instal·lar un hook (una manera d’interceptar i modificar les operacions normals) dins de LINA, el motor principal del dispositiu per al processament de xarxa i les funcions de seguretat», segons l’avís. «Aquest hook permet l’execució de codi de shell arbitrari proporcionat pels actors APT, incloent-hi el desplegament de LINE VIPER.»

«Tot i que els pedaços de Cisco van solucionar els errors CVE-2025-20333 i CVE-2025-20362, els dispositius compromesos abans de l’aplicació del pedaç poden continuar sent vulnerables perquè FIRESTARTER no s’elimina amb les actualitzacions de microprogramari.»

Cisco, que està fent un seguiment de l’activitat d’explotació associada a les dues vulnerabilitats sota el sobrenom UAT4356 (també conegut com a Tempesta-1849), ha descrit el FIRESTARTER com a porta del darrere que facilita l’execució de codi shell arbitrari rebut pel procés LINA mitjançant l’anàlisi de sol·licituds d’autenticació WebVPN especialment dissenyades que contenen un «paquet màgic».

Es desconeixen els orígens exactes de l’activitat amenaçadora, tot i que a l’anàlisi de la plataforma de gestió de superfícies d’atac Censys al maig de 2024 es van suggerir vincles amb la Xina. L’UAT4356 es va atribuir per primera vegada a una campanya anomenada ArcaneDoor que explotava dues fallades de dia zero en equips de xarxa de Cisco per oferir programari maliciós a mida capaç de capturar el trànsit de xarxa i el reconeixement.

«Per eliminar completament el mecanisme de persistència, Cisco recomana fermament tornar a imaginar i actualitzar el dispositiu mitjançant les versions fixes», va informar Cisco. En casos de compromís confirmat en qualsevol plataforma Cisco Secure ASA o FTD, tots els elements de configuració del dispositiu s’han de considerar com a no fiables.

Com a mitigació fins que es pugui fer la reimpressió, l’empresa recomana que els clients facin un reinici en fred per extreure l’implant FIRESTARTER. «Les ordres CLI d’apagada, reinici i recàrrega no eliminaran l’implant persistent maliciós, cal desconnectar el cable d’alimentació i tornar-lo a connectar al dispositiu», va afegir.