Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Puertas traseras Puerta trasera de FIRESTARTER

Puerta trasera de FIRESTARTER

Por Mezo en Puertas traseras, Amenaza persistente avanzada (APT)
Traducir a:

Analistas de ciberseguridad han revelado que una agencia civil federal, cuyo nombre no se ha revelado, sufrió una brecha de seguridad en septiembre de 2025 relacionada con un dispositivo Cisco Firepower que ejecutaba el software Adaptive Security Appliance (ASA). Los investigadores identificaron una variante de malware hasta entonces desconocida, denominada FIRESTARTER, diseñada para proporcionar acceso remoto encubierto y control a largo plazo sobre los sistemas afectados.

Se cree que la intrusión forma parte de una campaña más amplia llevada a cabo por un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) que tiene como objetivo el firmware de Cisco ASA mediante la explotación de vulnerabilidades conocidas que posteriormente fueron corregidas.

Intrusión inicial a través de vulnerabilidades de alto riesgo de Cisco.

Según los informes, los ciberdelincuentes aprovecharon dos graves fallos de seguridad de Cisco para acceder a los dispositivos expuestos:

  • CVE-2025-20333 (CVSS 9.9): Validación de entrada incorrecta que permite a un atacante remoto autenticado con credenciales VPN válidas ejecutar código arbitrario como root a través de solicitudes HTTP manipuladas.
  • CVE-2025-20362 (CVSS 6.5): Validación de entrada incorrecta que permite a un atacante remoto no autenticado acceder a puntos finales de URL restringidos mediante solicitudes HTTP manipuladas.

Aunque existen parches disponibles, los sistemas que hayan sufrido una brecha de seguridad antes de su corrección pueden seguir comprometidos.

FIRESTARTER permite el acceso persistente después de la actualización.

FIRESTARTER destaca por su capacidad para sobrevivir a las actualizaciones de firmware y a los reinicios normales. El malware se integra en el proceso de inicio modificando la secuencia de montaje del dispositivo, lo que permite su reactivación automática cada vez que el aparato se reinicia normalmente.

Solo un reinicio completo puede interrumpir temporalmente el implante. Los comandos estándar de apagado, reinicio o recarga no lo eliminan. Los investigadores también observaron similitudes entre FIRESTARTER y un kit de arranque anterior conocido como RayInitiator.

Manipulación profunda del sistema mediante el enganche de LINA

Los investigadores descubrieron que FIRESTARTER intenta implantar un gancho en LINA, el motor principal responsable del procesamiento de red y las operaciones de seguridad de Cisco ASA. Esta manipulación permite a los atacantes interceptar el funcionamiento normal y ejecutar código malicioso distribuido a través de solicitudes de autenticación WebVPN especialmente diseñadas que contienen un denominado "paquete mágico".

Este mecanismo permite que continúe la actividad maliciosa incluso después de que se hayan corregido las vulnerabilidades.

El conjunto de herramientas LINE VIPER amplía las capacidades del atacante.

Durante el mismo incidente, los operadores desplegaron un marco de trabajo posterior a la explotación llamado LINE VIPER, que amplió significativamente el control sobre el entorno comprometido. Se observó que el conjunto de herramientas realizaba las siguientes acciones:

  • Ejecutando comandos de la CLI
  • Captura del tráfico de red
  • Cómo eludir la autenticación, autorización y contabilidad (AAA) de VPN para dispositivos controlados por el atacante.
  • Suprimir las alertas de syslog
  • Recopilación de la actividad de la CLI del administrador
  • Forzar reinicios del sistema con retraso

Según se informa, los privilegios elevados que proporciona LINE VIPER allanaron el camino para el despliegue de FIRESTARTER antes del 25 de septiembre de 2025. Los atacantes pudieron volver a acceder al dispositivo incluso el mes anterior.

Vínculos con operaciones de espionaje más amplias

Los investigadores que rastrean la explotación bajo la designación UAT4356, también conocida como Storm-1849, vincularon la actividad con campañas anteriores. Evaluaciones previas de mayo de 2024 sugirieron posibles vínculos con China.

Este grupo había estado asociado anteriormente con ArcaneDoor, una campaña que explotó dos vulnerabilidades de día cero de Cisco para desplegar malware personalizado utilizado para el reconocimiento y la interceptación del tráfico de red.

Medidas correctivas críticas para las organizaciones afectadas

Los profesionales de seguridad recomiendan encarecidamente que cualquier vulneración confirmada de las plataformas Cisco Secure ASA o Firepower Threat Defense (FTD) se considere un fallo total de confianza. Las configuraciones de dispositivos existentes deben considerarse poco fiables.

Para erradicar completamente FIRESTARTER, las organizaciones deben reinstalar el sistema operativo en los dispositivos afectados y actualizar a las versiones de software corregidas de Cisco. Hasta que se complete la reinstalación, se recomienda un reinicio en frío desconectando y volviendo a conectar físicamente la alimentación del dispositivo, ya que los comandos de reinicio por software no eliminarán la infección persistente.

Tendencias

Mas Visto

Cargando...