Firewall da Cisco de agência federal dos EUA infectado com backdoor ‘Firestarter’
O malware permite acesso e controle remoto de dispositivos infectados e mantém sua persistência mesmo após a aplicação de patches.
Pelo menos uma agência federal dos EUA foi infectada por uma porta dos fundos como parte de uma ampla campanha de espionagem ligada à China, que tinha como alvo firewalls da Cisco.
Em maio de 2024, a Cisco corrigiu duas vulnerabilidades em sua plataforma de firewall Adaptive Security Appliance (ASA) que haviam sido exploradas como vulnerabilidades zero-day em uma campanha patrocinada por um Estado, conhecida como ArcaneDoor .
Um ano depois, a empresa corrigiu mais duas vulnerabilidades zero-day relacionadas à mesma campanha, identificadas como CVE-2025-20333 e CVE-2025-20362, que afetavam o servidor web VPN do ASA e o software Secure Firewall Threat Defense (FTD).
Em setembro de 2025, a agência de cibersegurança dos EUA, CISA, emitiu a Diretiva de Emergência 25-03 (ED 25-03), instando as agências federais a corrigirem imediatamente as vulnerabilidades em dispositivos Cisco em seus ambientes. Em novembro, a CISA atualizou suas diretrizes para recomendar ações de mitigação adicionais.
Na quinta-feira, a agência atualizou novamente o ED 25-03, alertando que a aplicação de patches em dispositivos de firewall Cisco vulneráveis não remove o malware implantado neles.
De acordo com a diretiva atualizada, as agências federais devem enviar os arquivos de despejo de memória dos dispositivos para o portal Malware Next Gen para verificar se foram comprometidos e notificar imediatamente a CISA caso tenham sido, ou aplicar as correções disponíveis, se necessário.
O requisito aplica-se aos dispositivos das séries Firepower 1000, 2100, 4100 e 9300 e aos dispositivos Secure Firewall das séries 200, 1200, 3100, 4200 e 6100. Todas as verificações e atualizações devem ser realizadas até as 23h59 (horário do leste dos EUA) do dia 24 de abril de 2026, e os dispositivos devem ser reinicializados completamente até 30 de abril, conforme determina a diretiva da CISA.
A diretiva atualizada da CISA vem acompanhada de instruções sobre os despejos de memória e de uma análise detalhada do backdoor Firestarter, identificado como o malware usado nesses ataques.
Segundo a CISA, pelo menos uma agência federal foi infectada pelo Firestarter através da exploração de um dispositivo Firepower vulnerável às vulnerabilidades CVE-2025-20333 e CVE-2025-20362. A agência alerta que a porta dos fundos não é removida por atualizações de firmware e que os dispositivos comprometidos antes da aplicação das correções permanecem vulneráveis.
O Firestarter foi implantado antes de 25 de setembro, persistiu mesmo após a correção e forneceu aos atacantes acesso remoto e controle do firewall vulnerável.
“O Firestarter tenta instalar um gancho — uma forma de interceptar e modificar as operações normais — no Lina, o mecanismo principal do dispositivo para processamento de rede e funções de segurança. Esse gancho permite a execução de código shell arbitrário fornecido pelos agentes APT, incluindo a implantação do Line Viper”, explica a CISA.
A porta dos fundos se assemelha ao bootkit RayInitiator, um componente previamente detalhado da campanha ArcaneDoor, e alcança persistência modificando a lista de montagem do Cisco Service Platform (CSP), o que permite que programas sejam executados durante a inicialização, explica a Cisco .
Após a reinicialização, o Firestarter restaura a lista original e remove a cópia infectada pelo trojan, o que significa que o implante pode ser removido por meio de uma reinicialização completa, que envolve desconectar o dispositivo da energia, segundo a empresa.
A Cisco atribuiu os ataques ao UAT-4356, um agente de ameaças patrocinado por um Estado com foco em espionagem, e publicou um novo alerta sobre a exploração contínua das vulnerabilidades CVE-2025-20333 e CVE-2025-20362.
Por: correspondente internacional da SecurityWeek. Publicado originalmente por SecurityWeek
Veja também:
- A vulnerabilidade não está mais no código
- O estado atual do Pentest em 2026
- Brasil 3º Lugar em cantas bancárias comprometidas
- Riscos mais perigosos das empresas hoje não estão nos sistemas,
- Pequenas empresas são as principais vítimas de vazamento de dados
- 5 tendências que estão redefinindo a agenda da Cibersegurança
- Ransomware impede recuperação de dados
- 900 contas de colaboradores da Starbucks
- Crimes cibernéticos crescem 28%
- CLI do Gerenciador de senhas Bitwarden foi comprometida
- Funcionários alimentam o ChatGPT com dados sigilosos, e proibir não vai resolver
- IA cresce 300% e cria desafios para publishers em tráfego e receita
Be the first to comment