Les agences de cybersécurité américaines et britanniques tirent la sonnette d’alarme concernant un malware sur mesure, Firestarter, qui continue d’agir sur les dispositifs Cisco Firepower et Secure Firewall fonctionnant avec le logiciel Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD).
Ce backdoor est attribué à un acteur malveillant que Cisco Talos identifie comme UAT-4356, connu pour ses campagnes de cyberespionnage, incluant le projet ArcaneDoor.
La Cybersecurity and Infrastructure Security Agency (CISA) et le National Cyber Security Center (NCSC) britannique soupçonnent que l’accès initial a été obtenu par l’exploitation d’un problème d’autorisation manquante (CVE-2025-20333) et/ou d’un bug de débordement de tampon (CVE-2025-20362).
Dans un incident observé par la CISA au sein d’une agence fédérale, les chercheurs ont détecté le déploiement préliminaire du malware Line Viper, avant l’utilisation de Firestarter, permettant un accès prolongé même après application de correctifs.
La date d’exploitation initiale n’a pas été confirmée, mais CISA estime que la compromission a eu lieu début septembre 2025, avant que l’agence n’applique des correctifs en accord avec l’édition 25-03.
Line Viper est utilisé pour établir des sessions VPN et accéder à des informations de configuration, incluant des identifiants administratifs, des certificats et des clés privées sur les dispositifs Firepower compromis.
Ensuite, le binaire ELF pour le backdoor Firestarter est déployé pour assurer une persistance, permettant au cyberattaquant de reprendre accès quand nécessaire.
Lorsque Firestarter s’installe sur les dispositifs, il assure sa persistance même lors de redémarrages, mises à jour de firmware et correctifs de sécurité. De plus, le backdoor se relance automatiquement si on tente de le fermer.
Cette persistance s’obtient en s’intégrant à LINA, le processus central des ASA de Cisco, et en utilisant des gestionnaires de signaux qui déclenchent des routines de réinstallation.
Un rapport d’analyse de malware conjoint des deux agences de cybersécurité explique que Firestarter modifie le fichier de démarrage/montage CSP_MOUNT_LIST pour garantir son exécution au démarrage, stocke une copie dans /opt/cisco/platform/logs/var/log/svc_samcore.log et la restaure dans /usr/bin/lina_cs, où elle fonctionne en arrière-plan.
Cisco Talos a également publié une analyse du malware, indiquant que le mécanisme de persistance se déclenche lorsqu’un signal de terminaison de processus est reçu, connu sous le nom de redémarrage gracieux.
Les chercheurs ont noté dans leur rapport que le backdoor utilise des commandes spécifiques pour s’assurer sa persistance.
Source : Cisco
La fonction principale de l’implant est d’agir comme un backdoor pour un accès à distance, tout en pouvant exécuter du shellcode fourni par l’attaquant.
Cela se réalise à travers un mécanisme où Firestarter s’accroche à LINA en modifiant un gestionnaire XML et en injectant le shellcode dans la mémoire, créant ainsi un chemin d’exécution contrôlé.
Ce shellcode est déclenché par une requête WebVPN spécialement conçue, qui, après avoir validé un identifiant codé en dur, charge et exécute des charges utiles fournies par l’attaquant directement en mémoire.
Néanmoins, la CISA n’a pas fourni de détails concernant les charges utiles spécifiques observées lors des attaques.
Cisco a publié un avis de sécurité sur Firestarter contenant des mesures d’atténuation et des solutions pour supprimer le mécanisme de persistance, ainsi que des indicateurs de compromission pour découvrir l’implant Firestarter.
Le fournisseur « recommande vivement de réinstaller et de mettre à jour l’appareil en utilisant les versions corrigées », ce qui couvre les cas compromis et non compromis.
Pour déterminer une compromission, les administrateurs doivent exécuter la commande ‘show kernel process | include lina_cs’. Si des résultats en découlent, l’appareil doit être considéré comme compromis.
Si la réinstallation du dispositif n’est pas actuellement possible, Cisco indique qu’un redémarrage à froid (déconnexion de l’alimentation) peut éliminer le malware. Cependant, cette alternative n’est pas recommandée car elle risque de provoquer des corruptions de base de données ou de disque, entraînant des problèmes de démarrage.
La CISA a également partagé deux règles YARA pouvant détecter le backdoor Firestarter lorsqu’elles sont appliquées à une image disque ou à un vidage de mémoire d’un dispositif.