Un nuevo implante para Cisco ASA y FTD, desplegado por el grupo UAT-4356, manipula el arranque para persistir tras actualizaciones. CISA confirma que la única forma de eliminarlo es un reinicio físico completo del dispositivo
La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA), en colaboración con el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido, ha emitido una alerta sobre un sofisticado backdoor para Linux denominado FIRESTARTER. Este malware está siendo utilizado por un actor de amenazas persistentes avanzadas (APT) para comprometer dispositivos Cisco Firepower que ejecutan software Adaptive Security Appliance (ASA) o Firepower Threat Defense (FTD).
El implante, descubierto en los sistemas de una agencia federal estadounidense en septiembre de 2025, destaca por su capacidad para sobrevivir a las actualizaciones de firmware y reinicios del sistema, manteniendo el acceso del atacante de forma sigilosa y duradera.
El vector de entrada de la campaña, rastreada por Cisco Talos como UAT-4356 (también conocida como Storm-1849), es la explotación de dos vulnerabilidades ya parcheadas. La primera es CVE-2025-20333, una falla crítica de ejecución remota de código con una puntuación CVSS de 9.9 que permite a un atacante autenticado ejecutar código como root. La segunda, CVE-2025-20362, con un CVSS de 6.5, permite a un atacante no autenticado acceder a puntos o endpoints de URL restringidos. Una vez dentro, los atacantes despliegan un conjunto de herramientas post-explotación llamado LINE VIPER, que a su vez se encarga de instalar el backdoor FIRESTARTER, asegurando un punto de reingreso persistente.
La anatomía de FIRESTARTER revela un mecanismo de persistencia ingenioso y altamente efectivo. Según un análisis detallado de Cisco Talos, el malware manipula la lista de montaje de la Plataforma de Servicios de Cisco (CSP_MOUNT_LIST) para ejecutarse durante la secuencia de arranque del dispositivo. Cuando el sistema recibe una señal de terminación, como durante un reinicio normal, FIRESTARTER se copia a una ubicación de respaldo y modifica la lista de montaje.
Al reiniciar, el script modificado restaura el malware en su ubicación original y luego elimina los rastros de la manipulación. Este ciclo asegura que el implante no se elimine con actualizaciones de firmware ni con reinicios estándar (reboot o reload).
Una vez activo, FIRESTARTER funciona como un binario ELF de Linux que se inyecta en el proceso LINA, el motor central de procesamiento de red de los dispositivos Cisco. El backdoor instala un hook para interceptar y analizar las solicitudes de autenticación WebVPN entrantes. Busca un patrón específico de bytes, una especie de "paquete mágico", en los datos de la solicitud. Si detecta la coincidencia, omite la autenticación y le otorga al atacante la capacidad de ejecutar comandos remotos.
FUENTE ORIGINAL
Cisco Talos↗CURADO POR
Alejandro Vargas