Firestarter malware survives Cisco firewall updates, security patches
Mis à jour :
Persistance du malware Firestarter sur les équipements Cisco
Le malware Firestarter cible les pare-feu Cisco (ASA et FTD), permettant aux attaquants de maintenir un accès persistant sur les appareils compromis, même après l’application de mises à jour, de correctifs de sécurité ou de redémarrages classiques. Attribué au groupe d’espionnage UAT-4356, ce backdoor s’inscrit dans des campagnes complexes visant les réseaux gouvernementaux.
Points clés :
- Mode opératoire : L’attaque débute par le déploiement du chargeur Line Viper pour récolter des identifiants et certificats, suivi de l’installation de Firestarter.
- Persistance avancée : Le malware s’intègre au processus central LINA. Il utilise des gestionnaires de signaux pour se réinstaller automatiquement s’il est interrompu et modifie les fichiers de boot pour garantir son exécution au démarrage.
- Exécution de code : Il permet l’exécution de charges utiles arbitraires en mémoire via des requêtes WebVPN spécifiques.
Vulnérabilités exploitées :
- CVE-2025-20333 : Problème d’absence d’autorisation.
- CVE-2025-20362 : Vulnérabilité de dépassement de tampon (buffer overflow).
Recommandations :
- Détection : Utiliser la commande
show kernel process | include lina_cspour identifier une compromission. La CISA propose également des règles YARA pour analyser les images disques ou les vidages mémoire. - Remédiation : Cisco préconise le re-imaging complet des appareils ainsi que la mise à jour vers les versions corrigées.
- Alternative : Un redémarrage à froid (coupure physique de l’alimentation) peut supprimer le malware, mais cette méthode est déconseillée en raison des risques de corruption de données ou de problèmes de démarrage.