La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) informó que un dispositivo Cisco Firepower de una agencia civil federal fue comprometido en septiembre de 2025. El ataque utilizó un nuevo malware llamado FIRESTARTER, diseñado como backdoor para acceso remoto persistente. El hallazgo fue compartido junto al Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).
FIRESTARTER : un backdoor qui ignore les mises à jour de sécurité 🔥
Le malware FIRESTARTER opère comme un backdoor qui permet aux attaquants de maintenir un contrôle à distance de l'appareil compromis. Le plus inquiétant est qu'il a réussi à survivre aux correctifs de sécurité appliqués sur l'équipement Cisco Firepower exécutant le logiciel Adaptive Security Appliance (ASA). Cela indique que le malware utilise des techniques de persistance avancées, se cachant probablement dans la mémoire ou exploitant des failles non documentées du firmware, ce qui rend sa détection et son éradication difficiles par les méthodes de correction conventionnelles.
Le correctif qui n'a rien corrigé, mais qui a quand même été facturé 💀
Les administrateurs réseau ont appliqué des correctifs dans l'espoir de dormir tranquilles, mais FIRESTARTER a décidé de rester vivre dans le routeur comme ce locataire qui ne paie pas de loyer. La CISA et le NCSC recommandent désormais de vérifier les logs, mais l'attaquant a sûrement déjà effacé ses traces tout en sirotant un café virtuel. La seule chose plus persistante que ce malware est la bureaucratie pour approuver un changement de mot de passe.