La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha revelado que los dispositivos Cisco Firepower de una agencia civil federal anónima que ejecuta el software Adaptive Security Appliance (ASA) se vieron comprometidos por un malware conocido como FIRESTARTER en septiembre de 2025.
Según CISA y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), FIRESTARTER ha sido evaluado como una puerta trasera diseñada para acceso y control remotos. Se cree que este ataque es parte de una campaña «generalizada» orquestada por atacantes de amenazas persistentes avanzadas (APT) para obtener acceso al firmware de Cisco Adaptive Security Appliance (ASA) mediante la explotación de fallas de seguridad actualmente parcheadas, que incluyen:
CVE-2025-20333 (Puntuación CVSS: 9,9): la validación inadecuada de las vulnerabilidades de entrada proporcionadas por el usuario podría permitir que un atacante remoto autenticado con credenciales de usuario de VPN válidas ejecute código arbitrario como root en un dispositivo afectado mediante el envío de una solicitud HTTP diseñada. CVE-2025-20362 (Puntuación CVSS: 6,5): la validación inadecuada de las vulnerabilidades de entrada proporcionadas por el usuario permite que un atacante remoto no autenticado acceda a puntos finales de URL restringidos sin autenticación mediante el envío de una solicitud HTTP diseñada.
«FIRESTARTER puede persistir como una amenaza activa en dispositivos Cisco que ejecutan software ASA o Firepower Threat Defense (FTD), manteniendo la persistencia después de parchear y permitiendo a los actores de amenazas recuperar el acceso a los dispositivos comprometidos sin volver a explotar las vulnerabilidades», dijo la agencia.
En los incidentes investigados, se descubrió que el atacante implementó un kit de herramientas posterior a la explotación llamado LINE VIPER que puede ejecutar comandos CLI, realizar capturas de paquetes, omitir la autenticación, autorización y contabilidad (AAA) de VPN en el dispositivo atacante, suprimir mensajes de syslog, recopilar comandos CLI del usuario y forzar un reinicio retrasado.
El acceso elevado proporcionado por LINE VIPER sirvió como conducto para FIRESTARTER implementado en dispositivos Firepower antes del 25 de septiembre de 2025, lo que permitió a los atacantes mantener un acceso continuo y regresar a los dispositivos que se vieron comprometidos el mes pasado.
FIRESTARTER, un binario ELF de Linux, establece la persistencia en el dispositivo y sobrevive a las actualizaciones de firmware y reinicios del dispositivo a menos que se produzca un ciclo de encendido completo. El malware se infiltra en la secuencia de inicio del dispositivo manipulando la lista de montaje de inicio para que se reactive automáticamente cada vez que el dispositivo se reinicie normalmente. Dejando a un lado la resiliencia, también existe cierta superposición con un kit de arranque previamente documentado llamado RayInitiator.
Según el aviso, «FIRESTARTER intenta instalar ganchos dentro de LINA, el motor central del dispositivo para el procesamiento de red y funciones de seguridad, una forma de interceptar y modificar las operaciones normales». «Este gancho permite la ejecución de código shell arbitrario proporcionado por el actor APT, incluida la implementación de LINE VIPER».
«El parche de Cisco abordaba CVE-2025-20333 y CVE-2025-20362, pero los dispositivos que se vieron comprometidos antes de que se aplicara el parche pueden seguir siendo vulnerables porque la actualización del firmware no elimina FIRESTARTER».
Cisco, que está rastreando la actividad de explotación relacionada con dos vulnerabilidades denominadas UAT4356 (también conocida como Storm-1849), describe FIRESTARTER como una puerta trasera que facilita la ejecución de shellcode arbitrario recibido por los procesos LINA al analizar solicitudes de autenticación WebVPN especialmente diseñadas que contienen «paquetes mágicos».
Se desconocen los orígenes exactos de la actividad de amenaza, pero un análisis de mayo de 2024 realizado por la plataforma de gestión de superficies de ataque Censys sugiere un vínculo con China. UAT4356 se atribuyó inicialmente a una campaña llamada ArcaneDoor que explotaba dos fallas de día cero en los equipos de red de Cisco para distribuir malware personalizado que podía capturar y espiar el tráfico de la red.
«Para eliminar por completo el mecanismo de persistencia, recomendamos encarecidamente volver a crear una imagen y actualizar el dispositivo», dijo Cisco. «Si se confirma un compromiso en una plataforma Cisco Secure ASA o FTD, todos los componentes del dispositivo deben considerarse no confiables».
Como medida de mitigación hasta que se realice una nueva imagen, la compañía recomienda a los clientes realizar un reinicio en frío para retirar el implante FIRESTARTER. «Los comandos CLI de apagar, reiniciar y recargar no borrarán los implantes maliciosos persistentes; deberá desconectar el cable de alimentación y volver a enchufarlo del dispositivo», agregó.
Los piratas informáticos chinos pasan de la infraestructura adquirida individualmente a las redes secretas
La divulgación se produce cuando Estados Unidos, el Reino Unido y varios socios internacionales emitieron un aviso conjunto sobre una gran red de enrutadores SOHO y dispositivos IoT que fueron comprometidos por actores de amenazas alineados con China para ocultar el ataque de espionaje y complicar los esfuerzos para identificar la causa.
Grupos respaldados por el Estado como Bolt Typhoon y Flux Typhoon están utilizando estas botnets, que consisten en enrutadores domésticos, cámaras de vigilancia, grabadoras de video y otros dispositivos de IoT, para apuntar a sectores de infraestructura críticos y realizar ciberespionaje de una manera «de bajo costo, bajo riesgo y negable», según la alerta.
Para complicar aún más el problema está el hecho de que las redes se actualizan constantemente. Sin mencionar que varios grupos de amenazas relacionados con China pueden usar la misma botnet al mismo tiempo, lo que dificulta que los defensores los identifiquen y bloqueen mediante listas de bloqueo de IP estáticas.
«Si bien la mayor parte de la red encubierta consiste en enrutadores SOHO comprometidos, también atrae dispositivos vulnerables que pueden explotarse a escala», dijo la agencia. «Su tráfico se enruta a través de múltiples dispositivos comprometidos utilizados como nodos transversales antes de salir de la red desde un nodo de salida, generalmente ubicado en la misma área geográfica que el objetivo».
Los hallazgos resaltan patrones comunes observados en ataques patrocinados por el estado. Es decir, se dirigen a dispositivos perimetrales de red pertenecientes a redes residenciales, corporativas y gubernamentales, con el objetivo de convertirlos en nodos proxy o interceptar datos y comunicaciones confidenciales.
Source link
