A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, revelou que um dispositivo Cisco Firepower de uma agência civil federal, executando o software Adaptive Security Appliance (ASA), foi comprometido em setembro de 2025 com o malware FIRESTARTER.
Segundo a CISA e o Centro Nacional de Segurança Cibernética do Reino Unido, o NCSC, o FIRESTARTER é classificado como um backdoor criado para acesso e controle remotos.
A suspeita é de que ele tenha sido implantado como parte de uma campanha ampla, orquestrada por um ator de ameaça persistente avançada, ou APT, para obter acesso ao firmware do Cisco Adaptive Security Appliance explorando falhas de segurança que já receberam patch, como as seguintes.
CVE-2025-20333
, com CVSS 9,9, é uma falha de validação inadequada de entrada fornecida pelo usuário que pode permitir que um atacante remoto autenticado, com credenciais válidas de VPN, execute código arbitrário como root em um dispositivo afetado ao enviar requisições HTTP forjadas.
CVE-2025-20362
, com CVSS 6,5, é outra falha de validação inadequada de entrada fornecida pelo usuário que pode permitir que um atacante remoto não autenticado acesse endpoints de URL restritos sem autenticação, também por meio de requisições HTTP forjadas.
“O FIRESTARTER pode permanecer como uma ameaça ativa em dispositivos Cisco que executam ASA ou Firepower Threat Defense (FTD), mantendo a persistência após o patch e permitindo que atores de ameaça readquiram acesso a dispositivos comprometidos sem precisar explorar novamente as vulnerabilidades”, informaram as agências.
No incidente investigado, os atores de ameaça também teriam usado um kit pós-exploração chamado LINE VIPER, capaz de executar comandos CLI, realizar capturas de pacotes, burlar a autenticação, autorização e contabilização de VPN, conhecida como AAA, em dispositivos do invasor, suprimir mensagens de syslog, coletar comandos CLI de usuários e forçar uma reinicialização com atraso.
O acesso privilegiado obtido pelo LINE VIPER serviu de caminho para o FIRESTARTER, implantado no dispositivo Firepower antes de 25 de setembro de 2025.
Isso permitiu que os invasores mantivessem acesso contínuo e voltassem ao equipamento comprometido até o mês passado.
Como binário ELF para Linux, o FIRESTARTER consegue estabelecer persistência no dispositivo e sobreviver a atualizações de firmware e reinicializações, a menos que ocorra um desligamento físico completo.
O malware se insere na sequência de inicialização ao manipular uma lista de montagem de inicialização, garantindo que seja reativado automaticamente sempre que o dispositivo reiniciar normalmente.
Além dessa resistência, ele também compartilha algumas semelhanças com um bootkit documentado anteriormente, conhecido como RayInitiator.
“FIRESTARTER tenta instalar um hook, um mecanismo para interceptar e modificar operações normais, dentro da LINA, o núcleo do dispositivo para processamento de rede e funções de segurança”, informou o comunicado.
“Esse hook permite a execução de shellcode arbitrário fornecido pelos atores do APT, inclusive a implantação do LINE VIPER.”
“Embora os patches da Cisco tenham corrigido a
CVE-2025-20333
e a
CVE-2025-20362
, dispositivos comprometidos antes da aplicação do patch podem continuar vulneráveis, porque o FIRESTARTER não é removido por atualizações de firmware.”
A Cisco, que acompanha a atividade de exploração associada às duas vulnerabilidades sob o nome UAT4356, também conhecido como Storm-1849, descreveu o FIRESTARTER como um backdoor que viabiliza a execução de shellcode arbitrário recebido pelo processo LINA ao analisar requisições de autenticação WebVPN especialmente manipuladas, contendo um “pacote mágico”.
A origem exata da atividade ainda não é conhecida, embora uma análise da plataforma de gestão de superfície de ataque Censys, em maio de 2024, tenha sugerido vínculos com a China.
O UAT4356 foi atribuído inicialmente a uma campanha chamada ArcaneDoor, que explorou duas falhas zero-day em equipamentos de rede da Cisco para entregar malware personalizado capaz de capturar tráfego de rede e realizar reconhecimento.
“Para remover completamente o mecanismo de persistência, a Cisco recomenda fortemente reinstalar a imagem e atualizar o dispositivo”, afirmou a empresa.
“Nos casos de comprometimento confirmado em qualquer plataforma Cisco Secure ASA ou FTD, todos os elementos de configuração do dispositivo devem ser considerados não confiáveis.”
Como medida de contenção até que a reinstalação possa ser feita, a empresa recomenda que os clientes realizem uma reinicialização a frio para remover o implante FIRESTARTER.
“Os comandos CLI shutdown, reboot e reload não removem o implante persistente malicioso; o cabo de energia precisa ser desconectado e reconectado ao dispositivo”, acrescentou.
Hackers chineses deixam de depender de infraestrutura adquirida individualmente e passam a usar redes clandestinas
A divulgação ocorre no momento em que os Estados Unidos, o Reino Unido e diversos parceiros internacionais publicaram um comunicado conjunto sobre grandes redes de roteadores SOHO e dispositivos IoT comprometidos e controlados por atores de ameaça com ligação à China, usados para disfarçar ataques de espionagem e dificultar a atribuição.
Grupos patrocinados por Estados, como Volt Typhoon e Flax Typhoon, têm usado essas botnets, formadas por roteadores domésticos, câmeras de segurança, gravadores de vídeo e outros dispositivos IoT, para mirar setores de infraestrutura crítica e conduzir espionagem cibernética de forma “de baixo custo, baixo risco e com negação plausível”, segundo o alerta.
A situação se complica porque essas redes são atualizadas constantemente.
Além disso, múltiplos grupos de ameaça ligados à China podem usar a mesma botnet ao mesmo tempo, o que dificulta para os defensores identificar e bloquear esses ataques com listas estáticas de bloqueio de IP.
“As redes clandestinas são compostas principalmente por roteadores SOHO comprometidos, mas também incorporam qualquer dispositivo vulnerável que possam explorar em escala”, disseram as agências.
“O tráfego é encaminhado por vários dispositivos comprometidos, usados como nós de travessia, antes de sair da rede por meio de um nó de saída, geralmente na mesma região geográfica do alvo.”
As conclusões reforçam um padrão comum em ataques patrocinados por Estados: o foco em dispositivos de borda de rede de ambientes residenciais, corporativos e governamentais, com o objetivo de transformá-los em nós proxy ou interceptar dados e comunicações sensíveis.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...