Les agences de cybersécurité des États-Unis et du Royaume-Uni ont émis des alertes concernant une porte arrière persistante appelée Démarre-feu installé sur les dispositifs de protection incendie Cisco Firepower et Secure Firewall fonctionnant avec ASA ou FTD. La chose frappante est non seulement qu'il ya un implant capable d'accès à distance, mais que sa conception lui permet de survivre aux redémarrages, aux mises à jour et aux correctifs du firmware, qui exige un réexamen de la réponse habituelle basée uniquement sur l'application de corrections.
Selon des analyses conjointes et des rapports techniques, l'acteur à qui l'implant a été attribué (suivi par Cisco Talos comme UAT-4356) a obtenu un accès initial en exploitant les vulnérabilités de gestion (CVE-2025-20333 et CVE-2025-20362). La chaîne d'attaque observée combine d'abord la mise en œuvre d'un chargeur dans l'espace utilisateur appelé Line Viper, qui dessine des références administratives, des certificats et des clés privées, puis l'installation d'un binaire ELF - Firestarter - qui est intégré au processus LINA pour assurer la persistance. Le mécanisme utilise des gestionnaires de signaux et de modifications pour le gestionnaire XML pour injecter du shellcode activé par des requêtes WebVPN construites spécifiquement.
Le risque réel va au-delà d'une machine engagée : accès aux identifiants et clés VPN permet à un adversaire de créer des sessions qui semblent légitimes, déplacer le bruit latéralement et maintenir une présence secrète. En outre, la possibilité d'exécuter le shellcode en mémoire par les requêtes WebVPN ouvre la porte à des charges utiles dynamiques dont le détail n'est pas toujours visible dans les enregistrements conventionnels. Dans un cas signalé par la CISA, l'intrusion s'est produite avant l'application des correctifs exigés par les instructions de la direction, ce qui met en évidence la fenêtre d'exposition dont souffrent de nombreuses organisations.
Les actions obligatoires pour les gestionnaires et les responsables de la sécurité devraient d'abord inclure l'hypothèse de l'engagement si les résultats de la vérification de base reviennent : exécuter la commande afficher le processus du noyau - 124; inclure lina _ cs et envisager compromis tout périphérique qui affiche la sortie. Cisco recommande réimpression et mise à jour avec des versions corrigées pour les dispositifs compromis et non compromis; c'est le seul moyen garanti d'éliminer la persistance. CISA a publié des règles YARA pour détecter l'échantillon dans les images de disque ou les braindumps du noyau, et il est recommandé de capturer ces dispositifs pour l'analyse médico-légale avant toute réimagerie; les guides et le rapport technique conjoint sont disponibles dans l'avis CISA: Analyse conjointe CISA-NCSC sur Firestarter et le PDF technique avec des indicateurs approfondis: Rapport technique (PDF).
S'il n'est pas possible de reimager immédiatement, Cisco indique qu'une coupure actuelle peut temporairement retirer l'implant, mais que manoeuvre porte le risque de corruption de base de données ou de disque et ne remplace pas la restauration d'une image propre. Après avoir supprimé les logiciels malveillants, vous devez faire pivoter toutes les références administratives, certificats et clés privées qui auraient pu être supprimés, examiner les paramètres VPN et remplacer tout matériel cryptographique qui a été exposé. Il est également essentiel de préserver les preuves et de coordonner les interventions avec les équipes d'IR et, le cas échéant, avec les autorités compétentes.
Du point de vue de l'atténuation à long terme, il est essentiel de corriger les vulnérabilités connues, mais pas suffisant : des contrôles de défense approfondis doivent être appliqués pour réduire la probabilité d'exploitation et la capacité de persévérer. Limiter l'accès au plan de gestion par segmentation, utiliser des réseaux de gestion hors bande, appliquer l'authentification multi-facteurs pour l'accès administratif, renforcer l'enregistrement et la télémétrie (y compris le trafic WebVPN) et surveiller les modèles atypiques de session VPN sont des mesures qui réduisent l'impact. Les recommandations et procédures techniques détaillées du fournisseur se trouvent sur la page Cisco : conseil de Cisco sur la persistance, et l'analyse Talos fournit le contexte sur la technique et les indicateurs: analyse de Cisco Talos.
Pour les organisations critiques et les administrations publiques, la leçon est claire : la fenêtre entre l'opération et le patch peut être suffisante pour établir une présence persistante et des matériaux sensibles à l'exfiltre, de sorte que la préparation devrait combiner patch rapide avec des plans d'intervention qui comprennent la réimagerie, la rotation clé et l'analyse médico-légale. Si vous gérez les pare-feu Cisco ASA / FTD, agissez en priorité : confirmez l'état de vos appareils, conservez les preuves, coordonnez l'assainissement et supposez que l'enlèvement complet passe par des images propres et le remplacement des identifiants engagés.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...