L'Agenzia per la Sicurezza delle Infrastrutture e la Cybersicurezza degli Stati Uniti (CISA) ha segnalato che un dispositivo Cisco Firepower di un'agenzia civile federale è stato compromesso nel settembre 2025. L'attacco ha utilizzato un nuovo malware chiamato FIRESTARTER, progettato come backdoor per l'accesso remoto persistente. La scoperta è stata condivisa insieme al Centro Nazionale per la Sicurezza Cibernetica del Regno Unito (NCSC).
FIRESTARTER: un backdoor che ignora gli aggiornamenti di sicurezza 🔥
Il malware FIRESTARTER opera come un backdoor che consente agli aggressori di mantenere il controllo remoto del dispositivo compromesso. La cosa più preoccupante è che è riuscito a sopravvivere alle patch di sicurezza applicate sul dispositivo Cisco Firepower che eseguiva il software Adaptive Security Appliance (ASA). Ciò indica che il malware utilizza tecniche di persistenza avanzate, possibilmente nascondendosi nella memoria o sfruttando bug non documentati del firmware, rendendo difficile la sua rilevazione ed eradicazione tramite metodi di patch convenzionali.
La patch che non ha patchato nulla, ma ha comunque incassato 💀
Gli amministratori di rete hanno applicato le patch sperando di dormire sonni tranquilli, ma FIRESTARTER ha deciso di restare a vivere nel router come quell'inquilino che non paga l'affitto. CISA e NCSC ora raccomandano di controllare i log, ma sicuramente l'aggressore ha già cancellato le sue tracce mentre gustava un caffè virtuale. L'unica cosa più persistente di questo malware è la burocrazia per approvare un cambio di password.