Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Backdoors FIRESTARTER Backdoor

FIRESTARTER Backdoor

Por Mezo em Backdoors, Ameaça Persistente Avançada (APT)
Traduzir Para:

Analistas de cibersegurança revelaram que uma agência civil federal, cujo nome não foi divulgado, sofreu uma violação de segurança em setembro de 2025 envolvendo um dispositivo Cisco Firepower que executava o software Adaptive Security Appliance (ASA). Os investigadores identificaram uma variante de malware até então desconhecida, denominada FIRESTARTER, projetada para fornecer acesso remoto secreto e controle a longo prazo sobre os sistemas afetados.

Acredita-se que a intrusão faça parte de uma campanha mais ampla conduzida por um grupo de ameaças persistentes avançadas (APT) que tem como alvo o firmware do Cisco ASA, explorando vulnerabilidades conhecidas que foram posteriormente corrigidas.

Intrusão inicial por meio de vulnerabilidades de alto risco da Cisco

Segundo relatos, agentes maliciosos exploraram duas falhas graves de segurança da Cisco para obter acesso a dispositivos expostos:

  • CVE-2025-20333 (CVSS 9.9): Validação de entrada inadequada que permite que um atacante remoto autenticado com credenciais VPN válidas execute código arbitrário como root por meio de solicitações HTTP manipuladas.
  • CVE-2025-20362 (CVSS 6.5): Validação de entrada inadequada que permite que um atacante remoto não autenticado acesse endpoints de URL restritos usando solicitações HTTP manipuladas.

Embora existam correções disponíveis, os sistemas que foram violados antes da correção podem permanecer comprometidos.

FIRESTARTER Permite Acesso Persistente Após a Aplicação do Patch

O FIRESTARTER destaca-se pela sua capacidade de sobreviver a atualizações de firmware e reinicializações padrão. O malware se incorpora ao processo de inicialização, modificando a sequência de montagem do dispositivo, o que permite a reativação automática sempre que o aparelho reinicia normalmente.

Somente um ciclo de energia completo pode interromper o implante temporariamente. Comandos padrão de desligamento, recarga ou reinicialização não o removem. Os pesquisadores também notaram semelhanças entre o FIRESTARTER e um bootkit anterior conhecido como RayInitiator.

Manipulação profunda do sistema através do engate LINA

Os investigadores descobriram que o FIRESTARTER tenta implantar um gancho no LINA, o mecanismo central responsável pelo processamento de rede e pelas operações de segurança do Cisco ASA. Essa manipulação permite que os atacantes interceptem o funcionamento normal e executem shellcode arbitrário, entregue por meio de solicitações de autenticação WebVPN especialmente criadas, que contêm um chamado "pacote mágico".

Esse mecanismo permite a continuidade de atividades maliciosas mesmo após a correção das vulnerabilidades.

O LINE VIPER Toolkit amplia as capacidades de ataque.

Durante o mesmo incidente, os operadores implantaram uma estrutura de pós-exploração chamada LINE VIPER, que expandiu significativamente o controle sobre o ambiente comprometido. Observou-se que o conjunto de ferramentas executava as seguintes ações:

  • Executando comandos da CLI
  • Captura de tráfego de rede
  • Contornando a autenticação, autorização e contabilização (AAA) da VPN para dispositivos controlados pelo invasor.
  • Suprimindo alertas do syslog
  • Coletando atividade da CLI do administrador
  • Forçar reinicializações atrasadas do sistema

Os privilégios elevados concedidos pelo LINE VIPER supostamente abriram caminho para a implantação do FIRESTARTER antes de 25 de setembro de 2025. Os invasores conseguiram acessar o dispositivo novamente ainda no mês anterior.

Ligações com operações de espionagem mais amplas

Pesquisadores que monitoram a exploração sob a designação UAT4356, também conhecida como Storm-1849, conectaram a atividade a campanhas anteriores. Avaliações prévias de maio de 2024 sugeriram possíveis ligações com a China.

Este cluster havia sido associado anteriormente ao ArcaneDoor, uma campanha que explorou duas vulnerabilidades zero-day da Cisco para implantar malware personalizado usado para reconhecimento e interceptação de tráfego de rede.

Medidas críticas de remediação para organizações afetadas

Profissionais de segurança recomendam enfaticamente que qualquer comprometimento confirmado envolvendo as plataformas Cisco Secure ASA ou Firepower Threat Defense (FTD) seja tratado como uma falha total de confiança. As configurações de dispositivos existentes devem ser consideradas não confiáveis.

Para erradicar completamente o FIRESTARTER, as organizações devem reinstalar o sistema operacional dos dispositivos afetados e atualizar para as versões de software corrigidas da Cisco. Até que a reinstalação seja concluída, recomenda-se uma reinicialização completa, desconectando e reconectando fisicamente a alimentação do dispositivo, pois os comandos de reinicialização baseados em software não removerão o implante persistente.

Tendendo

Mais visto

Carregando...