Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
FIRESTARTER su Cisco ASA: la backdoor che sopravvive alle patch e riapre la rete agli APT
Un nuovo caso di compromissione di dispositivi di sicurezza di rete mette in evidenza quanto sia rischioso affidarsi solo alle patch. Una agenzia federale civile statunitense ha subito a settembre 2025 un attacco contro un dispositivo Cisco Firepower con software Adaptive Security Appliance (ASA), infettato da un malware chiamato FIRESTARTER.
Si tratta di una backdoor progettata per accesso remoto e controllo del dispositivo, associata a una campagna su larga scala tipica di un attore APT.
Secondo le analisi, la catena di attacco punta al firmware Cisco ASA sfruttando vulnerabilità poi corrette, tra cui CVE-2025-20333 con gravità critica e CVE-2025-20362. La prima permette a un attaccante autenticato con credenziali VPN valide di eseguire codice come root tramite richieste HTTP appositamente costruite. La seconda consente di raggiungere endpoint URL riservati senza autenticazione, sempre tramite richieste manipolate. Il punto chiave è che FIRESTARTER può restare attivo anche dopo l’applicazione delle patch, mantenendo persistenza post-patching e consentendo agli attaccanti di rientrare sul dispositivo senza dover rieseguire lo sfruttamento.
Nell’incidente esaminato è stato osservato anche l’uso di LINE VIPER, un toolkit di post-exploitation capace di:
- eseguire comandi CLI
- effettuare packet capture
- aggirare i controlli VPN AAA per dispositivi dell’attore
- sopprimere messaggi syslog
- raccogliere comandi degli utenti
- forzare un riavvio ritardato
Questo livello di accesso elevato ha facilitato la distribuzione della backdoor sul Firepower prima del 25 settembre 2025, con segnali di accesso continuato anche in tempi recenti.
Dal punto di vista tecnico, FIRESTARTER è un binario Linux ELF che si inserisce nella sequenza di boot manipolando una lista di mount di avvio, riattivandosi a ogni reboot normale. Può sopravvivere ad aggiornamenti firmware e riavvii software, mentre un hard power cycle può rimuovere l’impianto persistente. Il malware tenta inoltre di installare un hook nel processo LINA, il motore centrale per funzioni di rete e sicurezza, per eseguire shellcode arbitrario e abilitare ulteriori azioni malevole.
Per una bonifica completa viene raccomandato il reimaging e l’upgrade a release corrette, considerando non affidabili gli elementi di configurazione in caso di compromissione. Come mitigazione temporanea, viene indicato un cold restart fisico, scollegando e ricollegando l’alimentazione, poiché i comandi di shutdown o reboot non eliminano la persistenza.