Porte dérobée FIRESTARTER

Par Mezo en Portes dérobées, Menace persistante avancée (APT)

Se traduisent par :

Des analystes en cybersécurité ont révélé qu'une agence civile fédérale, dont le nom n'a pas été divulgué, a subi une compromission en septembre 2025. Cette compromission concernait un dispositif Cisco Firepower exécutant le logiciel Adaptive Security Appliance (ASA). Les enquêteurs ont identifié une souche de logiciel malveillant jusqu'alors inconnue, nommée FIRESTARTER, conçue pour permettre un accès distant clandestin et un contrôle à long terme des systèmes affectés.

Cette intrusion serait liée à une campagne plus vaste menée par un groupe de menaces persistantes avancées (APT) ciblant le firmware Cisco ASA en exploitant des vulnérabilités connues qui ont été corrigées ultérieurement.

Table des matières

Intrusion initiale via des vulnérabilités Cisco à haut risque

Des acteurs malveillants auraient exploité deux failles de sécurité importantes de Cisco pour accéder aux appareils exposés :

CVE-2025-20333 (CVSS 9.9) : Validation d'entrée incorrecte permettant à un attaquant distant authentifié avec des informations d'identification VPN valides d'exécuter du code arbitraire en tant que root via des requêtes HTTP spécialement conçues.
CVE-2025-20362 (CVSS 6.5) : Validation d'entrée incorrecte permettant à un attaquant distant non authentifié d'accéder à des points de terminaison d'URL restreints à l'aide de requêtes HTTP spécialement conçues.

Bien que des correctifs soient disponibles, les systèmes compromis avant leur correction peuvent rester vulnérables.

FIRESTARTER permet un accès persistant après la mise à jour

FIRESTARTER se distingue par sa capacité à survivre aux mises à jour du firmware et aux redémarrages standards. Ce logiciel malveillant s'intègre au processus de démarrage en modifiant la séquence de montage du périphérique, ce qui permet sa réactivation automatique à chaque redémarrage normal de l'appareil.

Seul un redémarrage brutal peut interrompre temporairement l'implant. Les commandes d'arrêt, de rechargement ou de redémarrage classiques ne le suppriment pas. Les chercheurs ont également noté des similitudes entre FIRESTARTER et un bootkit antérieur connu sous le nom de RayInitiator.

Manipulation profonde des systèmes via l’interception LINA

Les enquêteurs ont découvert que FIRESTARTER tente d'implanter un point d'entrée dans LINA, le moteur principal responsable du traitement réseau et des opérations de sécurité des systèmes Cisco ASA. Cette manipulation permet aux attaquants d'intercepter le fonctionnement normal et d'exécuter du code malveillant arbitraire transmis via des requêtes d'authentification WebVPN spécialement conçues, contenant un « paquet magique ».

Ce mécanisme permet la poursuite d'activités malveillantes même après la correction des vulnérabilités.

La boîte à outils LINE VIPER étend les capacités des attaquants

Lors de ce même incident, les opérateurs ont déployé un framework de post-exploitation appelé LINE VIPER, qui a considérablement étendu leur contrôle sur l'environnement compromis. Ce framework a été observé en train d'effectuer les actions suivantes :

Exécution des commandes CLI
Capture du trafic réseau
Contournement de l'authentification, de l'autorisation et de la comptabilisation (AAA) du VPN pour les appareils contrôlés par un attaquant
Suppression des alertes syslog
Collecte de l'activité de l'interface de ligne de commande de l'administrateur
Redémarrages système différés forcés

Les privilèges élevés offerts par LINE VIPER auraient permis le déploiement de FIRESTARTER avant le 25 septembre 2025. Les attaquants ont pu accéder à nouveau à l'appareil jusqu'au mois précédent.

Liens avec des opérations d’espionnage plus vastes

Les chercheurs qui suivent l'exploitation sous la désignation UAT4356, également connue sous le nom de Storm-1849, ont établi un lien entre cette activité et des campagnes antérieures. Des évaluations précédentes datant de mai 2024 suggéraient des liens possibles avec la Chine.

Ce groupe avait auparavant été associé à ArcaneDoor, une campagne qui exploitait deux vulnérabilités zero-day de Cisco pour déployer un logiciel malveillant personnalisé utilisé pour la reconnaissance et l'interception du trafic réseau.

Mesures correctives essentielles pour les organisations touchées

Les experts en sécurité recommandent vivement de considérer toute compromission confirmée impliquant les plateformes Cisco Secure ASA ou Firepower Threat Defense (FTD) comme une rupture de confiance totale. Les configurations existantes des périphériques doivent être considérées comme non fiables.

Pour éradiquer complètement FIRESTARTER, les organisations doivent réinstaller le système d'exploitation des périphériques affectés et effectuer la mise à niveau vers les versions logicielles corrigées de Cisco. En attendant la fin de la réinstallation, un redémarrage à froid est recommandé : il est conseillé de débrancher puis de rebrancher physiquement l'alimentation du périphérique, car les commandes de redémarrage logiciel ne permettent pas de supprimer le virus persistant.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Porte dérobée FIRESTARTER

Intrusion initiale via des vulnérabilités Cisco à haut risque

FIRESTARTER permet un accès persistant après la mise à jour

Manipulation profonde des systèmes via l’interception LINA

La boîte à outils LINE VIPER étend les capacités des attaquants

Liens avec des opérations d’espionnage plus vastes

Mesures correctives essentielles pour les organisations touchées

Soumettre un Commentaire

Tendance

Logiciel malveillant SnappyClient

Faux site de récompenses Spotify

Arnaque par e-mail PDF PayPal

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Fuq.com