Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias FIRESTARTER: malware persistente en Cisco ASA alerta a CISA
Noticias

FIRESTARTER: malware persistente en Cisco ASA alerta a CISA

por Dragora
Escrito por Dragora

La Cybersecurity and Infrastructure Security Agency (CISA) ha revelado un incidente crítico que pone en evidencia la creciente sofisticación de las amenazas dirigidas a infraestructuras de red. Un dispositivo Cisco Firepower perteneciente a una agencia federal civil fue comprometido en septiembre de 2025 mediante un malware avanzado denominado FIRESTARTER, capaz de mantener acceso persistente incluso después de aplicar parches de seguridad.

Este descubrimiento, respaldado también por el National Cyber Security Centre (NCSC), destaca un cambio preocupante en las tácticas de los actores APT, quienes ahora priorizan el control profundo de dispositivos perimetrales como firewalls y appliances VPN.

¿Qué es FIRESTARTER y por qué es tan peligroso?

FIRESTARTER es una puerta trasera (backdoor) diseñada para proporcionar acceso remoto continuo y control total sobre dispositivos que ejecutan software Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) de Cisco.

Lo que hace especialmente peligrosa a esta amenaza es su capacidad de persistencia avanzada. A diferencia de otros malware, FIRESTARTER:

  • Sobrevive a reinicios del sistema
  • Permanece activo tras actualizaciones de firmware
  • Se reinstala automáticamente si es eliminado parcialmente

Esto significa que incluso dispositivos parcheados pueden seguir comprometidos si la infección ocurrió antes de aplicar las actualizaciones de seguridad.

Vulnerabilidades explotadas

El acceso inicial al sistema se logró mediante la explotación de dos vulnerabilidades críticas:

  • CVE-2025-20333 (CVSS 9.9): permite a atacantes autenticados ejecutar código arbitrario con privilegios root mediante solicitudes HTTP manipuladas.
  • CVE-2025-20362 (CVSS 6.5): permite a atacantes no autenticados acceder a endpoints restringidos sin credenciales.

Estas fallas, aunque ya parcheadas, fueron explotadas antes de que las organizaciones aplicaran las actualizaciones, lo que permitió a los atacantes establecer una presencia persistente.

Cadena de ataque: LINE VIPER como puerta de entrada

Durante el incidente, los investigadores identificaron el uso de un toolkit post-explotación llamado LINE VIPER, que actuó como facilitador para la instalación de FIRESTARTER.

LINE VIPER proporciona capacidades avanzadas como:

  • Ejecución de comandos CLI
  • Captura de tráfico de red
  • Elusión de mecanismos AAA (autenticación, autorización y contabilidad)
  • Supresión de logs de syslog
  • Recolección de comandos ejecutados por usuarios
  • Reinicio controlado del dispositivo

Este nivel de acceso permitió a los atacantes desplegar FIRESTARTER antes del 25 de septiembre de 2025, asegurando así el control a largo plazo del dispositivo comprometido.

Persistencia a nivel de sistema: técnicas avanzadas

FIRESTARTER es un binario ELF de Linux que se integra profundamente en el sistema operativo del dispositivo. Su mecanismo de persistencia incluye:

  • Manipulación de la lista de montaje de arranque (CSP_MOUNT_LIST)
  • Inserción en la secuencia de inicio del sistema
  • Reinstalación automática tras reinicios normales

Además, el malware se engancha al proceso LINA, el núcleo operativo de los dispositivos Cisco ASA, mediante técnicas de hooking. Esto le permite interceptar y modificar operaciones normales del sistema.

Una vez integrado, FIRESTARTER puede ejecutar shellcode arbitrario enviado por los atacantes, utilizando solicitudes WebVPN especialmente diseñadas que contienen un “paquete mágico”.

Relación con campañas APT y ArcaneDoor

Cisco ha rastreado esta actividad bajo el identificador UAT4356, también conocido como Storm-1849, un actor vinculado a campañas previas como ArcaneDoor.

Estas operaciones están asociadas a amenazas persistentes avanzadas (APT) con posibles vínculos estatales. Aunque no se ha confirmado oficialmente el origen, análisis previos de plataformas como Censys sugieren conexiones con actores chinos.

FIRESTARTER también presenta similitudes con el bootkit RayInitiator, lo que indica una evolución en las técnicas de persistencia a nivel de firmware.

Mitigación y respuesta: recomendaciones críticas

Ante la gravedad de la amenaza, Cisco ha emitido recomendaciones claras:

1. Reimaginar el dispositivo

La única forma fiable de eliminar FIRESTARTER es reinstalar completamente el sistema operativo con versiones corregidas.

2. Considerar la configuración comprometida

Todos los elementos de configuración deben tratarse como no confiables.

3. Reinicio en frío (temporal)

Desconectar físicamente el dispositivo puede eliminar el malware, pero no es una solución definitiva y conlleva riesgos.

4. Monitoreo continuo

Implementar herramientas de detección que identifiquen comportamientos anómalos en dispositivos de red.

Nueva tendencia: redes encubiertas basadas en IoT

Este hallazgo coincide con una alerta conjunta de EE. UU., Reino Unido y aliados internacionales sobre el uso de redes encubiertas formadas por dispositivos comprometidos.

Grupos como Volt Typhoon y Flax Typhoon están utilizando routers domésticos, cámaras de seguridad y dispositivos IoT como nodos proxy para ocultar sus operaciones.

Estas botnets permiten:

  • Disfrazar el origen de ataques
  • Evadir sistemas de detección
  • Realizar espionaje de bajo costo y alta negación

El tráfico malicioso se enruta a través de múltiples dispositivos comprometidos antes de alcanzar el objetivo final, dificultando la atribución y mitigación.

Implicaciones para la ciberseguridad global

El caso FIRESTARTER subraya una tendencia crítica: los dispositivos perimetrales se han convertido en objetivos prioritarios. A diferencia de los endpoints tradicionales, estos sistemas suelen carecer de monitoreo avanzado, lo que los convierte en puntos de entrada ideales.

Además, la combinación de exploits conocidos, herramientas post-explotación y malware persistente demuestra que los atacantes están optimizando sus operaciones para maximizar el acceso y minimizar la detección.

En fin…

FIRESTARTER representa una amenaza significativa para organizaciones que dependen de dispositivos Cisco ASA y Firepower. Su capacidad de persistencia, integración profunda en el sistema y resistencia a parches lo convierten en un desafío complejo para los equipos de seguridad.

En un entorno donde los actores APT evolucionan constantemente, las organizaciones deben adoptar un enfoque proactivo que incluya visibilidad total, respuesta rápida y una estrategia de defensa en profundidad.

La lección es clara: aplicar parches ya no es suficiente. La seguridad moderna exige asumir que el compromiso puede ocurrir y prepararse para detectarlo y erradicarlo de manera efectiva.

Fuente: The Hacker News

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Brecha en Klue expone datos de Salesforce

Nuevo malware Clipper roba criptomonedas vía USB

PCPJack secuestra 230 servidores AWS, Google Cloud y...

Las estafas de la Copa Mundial de la...

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!