Les administrateurs sont avertis par des cyber-experts des États-Unis et du Royaume-Uni que cela fait partie d’une campagne continue visant à pirater les pare-feu Cisco.
Les chercheurs en sécurité ont découvert une porte dérobée effrayante destinée aux pare-feu du système Cisco qui exploite des vulnérabilités non corrigées pour maintenir la persistance, même après l’application des correctifs. Cela signifie que les attaquants peuvent continuer à accéder aux appareils compromis sans réexploiter les failles.
Les appareils exécutant le logiciel Cisco ASA ou Firepower, y compris certains appareils Firepower et Secure Firewall, sont à risque. Cependant, jusqu’à présent, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) n’a constaté qu’une implantation réussie du malware, baptisé Firestarter, dans la nature sur un appareil Cisco Firepower exécutant le logiciel ASA.
Dans un avertissement commun, la CISA et le National Cyber Security Centre du Royaume-Uni exhortent les organisations à rechercher des signes de compromission. Pour ce faire, générez un core dump et utilisez les règles YARA recommandées pour détecter le malware Firestarter. Les règles YARA peuvent également être exécutées sur une image disque.
En cas de compromission, débranchez l’appareil de toutes les sources d’alimentation, y compris l’alimentation de secours, pendant une minute, rebranchez l’alimentation et redémarrez.
« Il ne suffit pas d’éteindre l’appareil ou de le redémarrer », indique l’avis conjoint. « L’appareil doit être entièrement retiré de toutes les sources d’alimentation, y compris les sources d’alimentation en double créées à des fins de redondance. »
Une infection Firestarter peut également être effacée en réimaginant les appareils, indique-t-il.
Dans un avis distinct, le service de renseignement sur les menaces Talos de Cisco a déclaré qu’un groupe qu’il appelle UAT-4356 est derrière Firestarter, dans le cadre de son ciblage continu des appareils Firepower. D’autres chercheurs appellent le groupe Storm-1849 et identifient la campagne ciblant les appareils réseau de Cisco et d’autres fournisseurs comme ArcaneDoor, remontant à 2023.
Échec critique dans la mentalité « corriger et oublier »
CISA pense que les acteurs malveillants ont compromis les pare-feu Cisco en exploitant CVE-2025-20333 et/ou CVE-2025-20362 début septembre dernier, avant la publication de correctifs destinés à combler ces failles.
Dans l’exemple analysé par la CISA, le pirate informatique a ensuite déployé le chargeur de shellcode LineViper pour installer un VPN que l’acteur malveillant pourrait utiliser pour accéder à tous les éléments de configuration du périphérique Firepower compromis, y compris les informations d’identification administratives, les certificats et les clés privées. Ensuite, la porte dérobée Firestarter a été ajoutée et utilisée pour établir une liaison avec un serveur de commande et de contrôle, ce qui a permis à la porte dérobée de persister même après l’application des correctifs. Tout cela s’est produit avant la publication des correctifs pour les deux vulnérabilités.
Firestarter atteint la persistance en détectant les signaux de terminaison et en se relançant, ce qui lui permet de survivre aux mises à jour du micrologiciel et aux redémarrages de l’appareil, à moins qu’un cycle d’alimentation brutal ne se produise.
« Le malware Firestarter représente un échec critique dans la mentalité de « corriger et oublier » de la sécurité réseau moderne », a déclaré l’analyste informatique Rob Enderle du groupe Enderle.
« Ce qui rend cette attaque particulièrement inhabituelle, c’est sa résilience technique et ses capacités anti-criminelles », a-t-il déclaré. « Le malware enregistre des fonctions de rappel pour les signaux de terminaison comme SIGTERM ou SIGHUP, ce qui lui permet de se relancer automatiquement si un administrateur tente de tuer le processus. Il plonge en profondeur dans la mémoire virtuelle du moteur LINA pour connecter la bibliothèque standard C++, interceptant les requêtes WebVPN pour déclencher sa charge utile. En utilisant le « time stomping » pour masquer la présence de ses fichiers et en redirigeant les erreurs vers /dev/null, il reste presque invisible pour les outils de découverte traditionnels. «
Il a souligné les conseils de la CISA et de Cisco selon lesquels, pour atténuer les dommages, un appareil infecté doit être physiquement déconnecté de toutes les sources d’alimentation, y compris les sources redondantes, pendant au moins une minute. Ce « démarrage à froid » efface la mémoire volatile où réside le logiciel malveillant et perturbe sa persistance au démarrage.
Enderle a également déclaré que les administrateurs réseau devraient moderniser les contrôles administratifs en utilisant le protocole TACACS+ (Terminal Access Controller Access-Control System) sur TLS 1.3 pour le contrôle d’accès et l’authentification des utilisateurs sur les périphériques réseau tels que les routeurs, les commutateurs et les pare-feu.
TACACS+ utilise généralement un port TCP dédié, a déclaré Enderle, donc toutes les règles de pare-feu devront être mises à jour pour en tenir compte. Les appareils Cisco auront probablement besoin du correctif ISE 3.4 (ou version ultérieure) pour garantir qu’Identity Services Engine prend en charge ce protocole. De même, les conseils d’autres fournisseurs doivent être consultés avant de passer à TACACS+ pour garantir l’interopérabilité.
Les administrateurs doivent également auditer strictement les comptes existants, qui, selon lui, constituent souvent la voie de moindre résistance pour les acteurs malveillants, afin d’empêcher tout mouvement latéral.
Les appareils Cisco affectés par le malware Firestarter incluent les pare-feu Firepower des séries 1000, 2100, 4100, 9300, 1200, 3100 et 4200, ainsi que les séries Secure Firewall 1200, 3100 et 4200.
