- Cisco advierte sobre Talos Firestarter, un nuevo malware dirigido a dispositivos FirePower y Secure Firewall sin parches
- El grupo UAT-4356 aprovecha las fallas CVE-2025-20333 y CVE-2025-20362 para implementar Line Viper antes de abandonar Firestarter
- CISA ha confirmado explotación contra al menos una agencia federal
Los investigadores de seguridad han advertido sobre Firestarter, un nuevo malware personalizado que apunta a dispositivos Cisco Firepower y Secure Firewall sin parches, que sobreviven a reinicios, parches de seguridad e incluso actualizaciones de firmware.
Los expertos de Firestarter señalados por Cisco Talos trabajan solo en dispositivos que ejecutan el software Adaptive Security Appliance (ASA) o Firepower Threat Defense (FTD). Fue creado por un actor de amenazas rastreado como UAT-4356, un grupo sobre el que Cisco ha estado advirtiendo durante al menos dos años.
A mediados de 2024, Cisco dijo que actores de amenazas sofisticados con vínculos potenciales con antiguos estados-nación están explotando dos fallas en las VPN y firewalls de Cisco para eliminar malware. El mismo grupo, que también está siendo rastreado como STORM-1849, aprovechó dos fallas en ese momento: CVE-2024-20353 y CVE-2024-20359.
El artículo continúa a continuación.
Confirmar la infracción
Esta vez, están abusando de un problema de autorización faltante rastreado como CVE-2025-20333 y de un error de desbordamiento de búfer rastreado como CVE-2025-20362 para implementar LineViper (un cargador de código shell en modo de usuario) primero antes de eliminar Firestarter.
Se decía que Line Viber podía ejecutar comandos CLI, capturar paquetes, omitir la autenticación, autorización y contabilidad (AAA) de VPN para dispositivos actores, suprimir mensajes syslog, robar comandos CLI de usuarios y forzar reinicios retrasados de dispositivos.
Para al menos una agencia del Poder Ejecutivo Civil Federal (FCEB), los dispositivos se vieron comprometidos durante el período de tiempo entre el lanzamiento del parche y la implementación en los dispositivos:
“CISA no ha confirmado la fecha exacta de la explotación inicial, pero ha evaluado el compromiso ya en septiembre de 2025 y antes de que la agencia aplique el parche según ED 25-03”, dijo CISA en su aviso de seguridad.
Al alterar la lista de montaje de inicio, el malware garantiza que persista después de un reinicio.
Aquellos que ejecutan Firepower y Secure Firewall y buscan mitigaciones y soluciones deben leer los consejos de seguridad de Cisco aquí. La compañía dijo que “recomienda encarecidamente” volver a crear imágenes y actualizar el dispositivo utilizando versiones específicas.
a través de Noticias de piratas informáticos
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
