Les agences de cybersécurité des États-Unis et du Royaume-Uni mettent en garde contre un malware personnalisé appelé Firestarter qui persiste sur les appareils **Cisco** Firepower et Secure Firewall exécutant le logiciel Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD). ### Connexion ArcaneDoor La backdoor a été attribuée à un acteur de menace que **Cisco Talos** suit en interne sous le nom de **UAT-4356**, connu pour ses campagnes de cyberespionnage, y compris **ArcaneDoor**. ### Exploitation de vulnérabilités pour l'accès initial L'agence américaine de cybersécurité et de sécurité des infrastructures (**CISA**) et le Centre national de cybersécurité du Royaume-Uni (**NCSC**) estiment que l'adversaire a obtenu un accès initial en exploitant un problème d'autorisation manquant (**CVE-2025-20333**) et/ou un bug de dépassement de tampon (**CVE-2025-20362**). ### Déploiement de Line Viper et Firestarter Dans un incident survenu dans une agence du pouvoir exécutif civil fédéral, **CISA** a observé l'acteur de menace déployer d'abord le malware **Line Viper**, un chargeur de shellcode en mode utilisateur, puis utiliser **Firestarter**, qui permet un accès continu même après le patching. « **CISA** n'a pas confirmé la date exacte de l'exploitation initiale, mais estime que le compromis s'est produit début septembre 2025, et avant que l'agence n'implémente les correctifs conformément à l'ED 25-03 », note l'agence dans une alerte. **Line Viper** est utilisé pour établir des sessions VPN et accéder à tous les détails de configuration, y compris les identifiants administratifs, les certificats et les clés privées sur les appareils Firepower compromis. Ensuite, le binaire ELF de la backdoor **Firestarter** est déployé pour la persistance, permettant à l'acteur de menace de regagner l'accès si nécessaire. ### Mécanismes de persistance Une fois que **Firestarter** s'est installé sur les appareils, il maintient sa persistance lors des redémarrages, des mises à jour du firmware et des correctifs de sécurité. De plus, la backdoor redémarre automatiquement si elle est terminée. La persistance est obtenue en s'accrochant à LINA, le processus central de **Cisco ASA**, et en utilisant des gestionnaires de signaux qui déclenchent des routines de réinstallation. Un rapport conjoint d'analyse de malware des deux agences de cybersécurité explique que **Firestarter** modifie le fichier de démarrage/montage CSP_MOUNT_LIST pour assurer l'exécution au démarrage, stocke une copie de lui-même dans /opt/cisco/platform/logs/var/log/svc_samcore.log, et la restaure dans /usr/bin/lina_cs, où elle s'exécute en arrière-plan. **Cisco Talos** a également publié son analyse du malware, indiquant que le mécanisme de persistance est déclenché lorsqu'un signal de terminaison de processus est reçu, également connu sous le nom de redémarrage gracieux. Les chercheurs ont noté dans le rapport Firestarter que la backdoor utilisait les commandes ci-dessous pour définir sa propre persistance :  ### Fonctionnalités de la backdoor La fonction principale de l'implant est d'agir comme une backdoor pour l'accès à distance, tout en pouvant exécuter du shellcode fourni par l'attaquant. Ceci est réalisé grâce à un mécanisme dans lequel **Firestarter** s'accroche à LINA en modifiant un gestionnaire XML et en injectant du shellcode en mémoire, créant ainsi un chemin d'exécution contrôlé. Ce shellcode est déclenché par une requête WebVPN spécialement conçue qui, après validation d'un identifiant codé en dur, charge et exécute des payloads fournis par l'attaquant directement en mémoire. Cependant, **CISA** n'a fourni aucun détail sur les payloads spécifiques observés dans les attaques. ### Recommandations de Cisco **Cisco** a publié un avis de sécurité sur **Firestarter** qui contient des atténuations et des solutions de contournement pour supprimer le mécanisme de persistance, ainsi que des indicateurs de compromission pour découvrir l'implant **Firestarter**. Le fournisseur « recommande fortement de réimager et de mettre à niveau l'appareil en utilisant les versions corrigées », ce qui couvre les cas compromis et non compromis. Pour déterminer un compromis, les administrateurs doivent exécuter la commande « show kernel process | include lina_cs ». Pour tout résultat, l'appareil doit être considéré comme compromis. Si le réimagerie de l'appareil n'est pas possible actuellement, **Cisco** indique qu'un redémarrage à froid (déconnexion de l'alimentation de l'appareil) supprime le malware. Cependant, cette alternative n'est pas recommandée car elle présente un risque de corruption de la base de données ou du disque, entraînant des problèmes de démarrage. **CISA** a également partagé deux règles YARA qui peuvent détecter la backdoor **Firestarter** lorsqu'elles sont appliquées à une image disque ou à une vidage mémoire d'un appareil.