Agencia de EE. UU. comprometida por vulnerabilidades en firewalls Cisco: malware 'FIRESTARTER' permite acceso persistente
Una agencia federal de EE. UU. fue comprometida en septiembre por hackers sofisticados que explotaron vulnerabilidades en firewalls de **Cisco**. Los atacantes desplegaron una cepa de malware denominada 'FIRESTARTER' para mantener acceso persistente, incluso después de que las vulnerabilidades iniciales fueran parcheadas.
## Agencia de EE. UU. comprometida por vulnerabilidades en firewalls Cisco: malware 'FIRESTARTER' permite acceso persistente
Una agencia federal de EE. UU. fue comprometida en septiembre por hackers sofisticados que explotaron vulnerabilidades en firewalls de **Cisco**. Los atacantes desplegaron una cepa de malware denominada 'FIRESTARTER' para mantener acceso persistente, incluso después de que las vulnerabilidades iniciales fueran parcheadas.
La **Agencia de Ciberseguridad e Infraestructura (CISA)** reveló que el departamento sin nombre fue infectado con el malware “FIRESTARTER”, lo que permitió a los atacantes recuperar el acceso al dispositivo **Cisco** en marzo sin volver a explotar las fallas originales.
### Respuesta de CISA
**CISA** ha emitido un aviso sobre el malware FIRESTARTER y una directiva actualizada que exige acciones específicas para que las agencias federales civiles detecten y mitiguen posibles infecciones. Esto sigue a una advertencia inicial en septiembre sobre **CVE-2025-20333** y **CVE-2025-20362**, dos vulnerabilidades que afectan a **Cisco Adaptive Security Appliances (ASA)**.
**CISA** declaró que las revisiones al aviso fueron impulsadas por inteligencia actualizada sobre amenazas cibernéticas que indicaba que los actores de amenazas estaban manteniendo persistencia y acceso no autorizado a los productos **Cisco Firepower** y **Secure Firewall** que ejecutan software **ASA** o **Firepower Threat Defense (FTD)**.
### ASA: Un objetivo principal
**ASA** es ampliamente utilizado por gobiernos y grandes empresas porque consolida varias funciones de seguridad en un solo dispositivo, incluyendo firewall, prevención de intrusiones, filtrado de spam y verificación de antivirus.
**CISA**, a través de su programa de monitoreo continuo, detectó conexiones sospechosas en un dispositivo **Cisco Firepower** de una agencia FCEB de EE. UU. que ejecutaba software **ASA**. Una investigación forense llevó al descubrimiento del malware FIRESTARTER.
### Malware FIRESTARTER y Line Viper
Además de FIRESTARTER, los atacantes desplegaron otra cepa de malware llamada Line Viper, que estableció sesiones de red privada virtual (VPN) ilegítimas, eludiendo las políticas de autenticación de VPN.
FIRESTARTER sirvió como un medio para mantener el acceso al dispositivo comprometido, permitiendo a los hackers “recuperar el acceso sin volver a explotar las vulnerabilidades originales” en marzo de 2026. Los dispositivos comprometidos antes de que se aplicaran los parches para CVE-2025-20333 y CVE-2025-20362 permanecen vulnerables debido a FIRESTARTER. El despliegue de FIRESTARTER ocurrió antes del 25 de septiembre de 2025, pero la fecha exacta sigue siendo desconocida.
Los atacantes también aprovecharon cuentas federales que ya no estaban activas dentro de la agencia. Line Viper otorgó a los actores de amenazas acceso a todo en el dispositivo Firepower de la víctima, incluyendo credenciales administrativas, certificados y claves privadas.
### Atribución y Colaboración
Si bien **CISA** no ha atribuido públicamente los ataques a un país específico, los informes sugieren un vínculo potencial con intereses estatales chinos.
**CISA** colaboró con el **Centro Nacional de Ciberseguridad del Reino Unido (NCSC)** en estos avisos. También emitieron conjuntamente otro aviso sobre actores de amenazas vinculados al gobierno chino que utilizan redes encubiertas de dispositivos comprometidos, mencionando específicamente tácticas utilizadas por Volt Typhoon y Flax Typhoon, dos grupos previamente identificados por atacar al gobierno de EE. UU. e infraestructura crítica.
### Evaluación de Cisco
En septiembre, **Cisco** publicó un análisis detallado de CVE-2025-20333 y CVE-2025-20362, vinculando con confianza la campaña a los mismos actores detrás de la campaña ArcaneDoor descubierta en 2024, que **Cisco** atribuyó a actores de amenazas patrocinados por el estado.
### Acciones Requeridas para Agencias Federales
Los avisos de **CISA** describen varias acciones obligatorias para todas las agencias federales civiles en respuesta a la campaña en curso contra los dispositivos de firewall **Cisco**. Estas incluyen la presentación de información detallada sobre sus sistemas. Los compromisos confirmados activarán instrucciones adicionales de **CISA**, que podrían incluir la desconexión física de los dispositivos para eliminar la persistencia de FIRESTARTER.
Las agencias federales deben confirmar la finalización de las verificaciones de malware antes de una fecha límite determinada, y proporcionar un inventario de dispositivos **Cisco Firepower** antes del 1 de mayo. **CISA** proporcionará un informe sobre la campaña al Director Nacional de Ciberseguridad y a otros líderes de la Casa Blanca antes del 1 de agosto.
**CISA** enfatiza que las acciones iniciales descritas en el aviso de septiembre son insuficientes para eliminar por completo el malware o a los atacantes de los sistemas comprometidos. Las agencias que ya han aplicado actualizaciones de seguridad aún deben completar las acciones requeridas actualizadas. Se advierte a las organizaciones que no desconecten los dispositivos a menos que **CISA** se lo indique específicamente.
**CISA** también ha proporcionado orientación sobre cómo cualquier organización puede verificar si hay infecciones de FIRESTARTER.
<html>
<a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>
</html>