El CISA estadounidense y el Centro Nacional de Ciberseguridad del Reino Unido advirtieron el jueves que presuntos atacantes están utilizando una puerta trasera personalizada para comprometer persistentemente los dispositivos de seguridad (cortafuegos) de Cisco.
“El malware Firestarter es relevante tanto para los dispositivos Cisco Firepower como para los Secure Firewall; sin embargo, CISA solo ha observado una implantación exitosa del malware en un dispositivo Cisco Firepower que ejecuta el software ASA”, señaló la Agencia de Ciberseguridad y Seguridad de Infraestructura.
CISA también compartió las normas de búsqueda de amenazas que las agencias civiles federales de EE. UU. deberían utilizar para buscar evidencia del malware en sus propios sistemas.
El mecanismo de persistencia del malware
Las dos agencias sostienen que los atacantes, identificados como UAT-4356 por Cisco Talos, están obteniendo acceso inicial a dispositivos vulnerables conectados a Internet mediante la explotación de las vulnerabilidades CVE-2025-20333 y/o CVE-2025-20362.
Cisco corrigió esas vulnerabilidades a finales de septiembre de 2025, cuando se descubrieron inicialmente estos ciberataques .
Posteriormente, los ciberdelincuentes desplegaron el implante de post-explotación Line Viper para establecer sesiones VPN que eludían todas las políticas de autenticación VPN y, finalmente, implantaron la puerta trasera Firestarter para lograr la persistencia.
Según los investigadores de Cisco Talos , Firestarter se integra en la secuencia de arranque del dispositivo manipulando una lista de configuración de inicio, lo que garantiza que se reactive automáticamente cada vez que el dispositivo se reinicia con normalidad.
Luego permanece inactivo hasta que se activa mediante un «paquete mágico» enviado por los atacantes a través de una solicitud de autenticación WebVPN especialmente diseñada. Cuando se reconoce la secuencia secreta de bytes de prefijo, el implante ejecuta directamente en la memoria el código malicioso que la sigue.
El resultado es un canal de ejecución bajo demanda que resulta excepcionalmente difícil de detectar sin un análisis forense profundo de la memoria o una inspección a nivel de paquetes.
Firestarter es sumamente resistente porque cada vez que el dispositivo se apaga o se reinicia «correctamente», el malware aprovecha esa ventana para realizar una copia de seguridad y reescribir las instrucciones de inicio antes de que el dispositivo se desconecte.
La única forma de eliminar completamente el implante es mediante un reinicio forzado, lo que significa que el dispositivo debe desconectarse físicamente de la corriente eléctrica en lugar de reiniciarse mediante software. Según explicaron los investigadores, cortar la alimentación eléctrica de forma abrupta impide que el malware ejecute su rutina de supervivencia.
En busca de Firestarter
“CISA y el NCSC evalúan que Firestarter puede persistir como una amenaza activa en dispositivos Cisco que ejecutan el software ASA o Firepower Threat Defense (FTD), manteniendo la persistencia posterior a la aplicación de parches y permitiendo a los ciberdelincuentes volver a acceder a los dispositivos comprometidos sin volver a explotar las vulnerabilidades”, señaló CISA, y ordenó a las agencias civiles federales de EE. UU. que:
- Identifique todas las plataformas Cisco ASA de cara al público que administran.
- Recopile los artefactos y volcados de memoria de esos dispositivos.
- Envíe los volcados de memoria a la plataforma Malware Next Generation (MNG) de CISA.
- Aplique los parches para CVE-2025-20333 y CVE-2025-20362.
- Realizar una búsqueda de amenazas adicional , si fuera necesario.
“Las agencias estadounidenses de FCEB no deben tomar ninguna medida adicional sin antes consultar con CISA. Para preservar las pruebas, eviten los ciclos de encendido y apagado completos y otros cambios (por ejemplo, reinicios, actualizaciones, cambios de configuración) antes de la recopilación y coordinación, ya que estos pueden afectar a los artefactos volátiles”, aconsejó CISA.
Según Cisco, el único indicio conocido de la presencia de Firestarter es la existencia de un proceso malicioso llamado lina_cs . La presencia de archivos adicionales en el disco — /usr/bin/lina_cs y /opt/cisco/platform/logs/var/log/svc_samcore.log— también podría indicar la presencia de Firestarter, aunque los atacantes pueden modificar fácilmente los nombres de estos archivos.
“Un reinicio completo eliminará el implante persistente malicioso”, afirma la compañía , pero no obstante “recomienda encarecidamente” reinstalar el sistema operativo y actualizar el dispositivo a una versión de software corregida.
Cisco Talos atribuyó el malware Firestarter a UAT-4356, un grupo que ya había sido vinculado a la campaña ArcaneDoor de 2024 , que implicó la vulneración de dispositivos Cisco ASA mediante dos vulnerabilidades de día cero.
Fuente y redacción: helpnetsecurity.com