## Une agence américaine compromise via des vulnérabilités de pare-feu Cisco : le malware 'FIRESTARTER' permet un accès persistant Une agence fédérale américaine a été compromise en septembre par des pirates sophistiqués exploitant des vulnérabilités dans les pare-feu **Cisco**. Les attaquants ont déployé une souche de malware baptisée 'FIRESTARTER' pour maintenir un accès persistant, même après le correctif des vulnérabilités initiales. La **Cybersecurity and Infrastructure Security Agency (CISA)** a révélé que le département non nommé avait été infecté par le malware « FIRESTARTER », permettant aux attaquants de retrouver l'accès à l'appareil **Cisco** en mars sans ré-exploiter les failles d'origine. ### La réponse de la CISA La **CISA** a publié un avis concernant le malware FIRESTARTER et une directive mise à jour imposant des actions spécifiques aux agences civiles fédérales pour détecter et atténuer les infections potentielles. Ceci fait suite à un avertissement initial en septembre concernant **CVE-2025-20333** et **CVE-2025-20362**, deux vulnérabilités affectant les **Cisco Adaptive Security Appliances (ASA)**. La **CISA** a déclaré que les révisions de l'avis étaient motivées par des renseignements actualisés sur les menaces cybernétiques indiquant que des acteurs malveillants maintenaient une persistance et un accès non autorisé aux produits **Cisco Firepower** et **Secure Firewall** exécutant les logiciels **ASA** ou **Firepower Threat Defense (FTD)**. ### ASA : une cible de choix Les **ASA** sont largement utilisés par les gouvernements et les grandes entreprises car ils consolident plusieurs fonctions de sécurité en un seul appareil, notamment le pare-feu, la prévention des intrusions, le filtrage anti-spam et les contrôles antivirus. La **CISA**, grâce à son programme de surveillance continue, a détecté des connexions suspectes sur un appareil **Cisco Firepower** d'une agence FCEB américaine exécutant le logiciel **ASA**. Une enquête médico-légale a conduit à la découverte du malware FIRESTARTER. ### FIRESTARTER et le malware Line Viper En plus de FIRESTARTER, les attaquants ont déployé une autre souche de malware appelée Line Viper, qui a établi des sessions de réseau privé virtuel (VPN) illégitimes, contournant les politiques d'authentification VPN. FIRESTARTER a servi de moyen pour maintenir l'accès à l'appareil compromis, permettant aux pirates de « retrouver l'accès sans ré-exploiter les vulnérabilités d'origine » en mars 2026. Les appareils compromis avant l'application des correctifs pour CVE-2025-20333 et CVE-2025-20362 restent vulnérables en raison de FIRESTARTER. Le déploiement de FIRESTARTER a eu lieu avant le 25 septembre 2025, mais la date exacte reste inconnue. Les attaquants ont également exploité des comptes fédéraux qui n'étaient plus actifs au sein de l'agence. Line Viper a accordé aux acteurs malveillants l'accès à tout sur l'appareil Firepower de la victime, y compris les identifiants administratifs, les certificats et les clés privées. ### Attribution et collaboration Bien que la **CISA** n'ait pas attribué publiquement les attaques à un pays spécifique, des rapports suggèrent un lien potentiel avec des intérêts d'État chinois. La **CISA** a collaboré avec le **United Kingdom National Cyber Security Centre (NCSC)** sur ces avis. Ils ont également conjointement publié un autre avis concernant des acteurs malveillants liés au gouvernement chinois utilisant des réseaux discrets d'appareils compromis, mentionnant spécifiquement les tactiques utilisées par Volt Typhoon et Flax Typhoon, deux groupes précédemment identifiés pour avoir ciblé le gouvernement américain et les infrastructures critiques. ### Évaluation de Cisco En septembre, **Cisco** a publié une analyse détaillée de CVE-2025-20333 et CVE-2025-20362, reliant avec confiance la campagne aux mêmes acteurs derrière la campagne ArcaneDoor découverte en 2024, que **Cisco** avait attribuée à des acteurs malveillants parrainés par des États. ### Actions requises pour les agences fédérales Les avis de la **CISA** décrivent plusieurs actions obligatoires pour toutes les agences civiles fédérales en réponse à la campagne en cours contre les appareils de pare-feu **Cisco**. Celles-ci comprennent la soumission d'informations détaillées sur leurs systèmes. Les compromissions confirmées déclencheront des instructions supplémentaires de la **CISA**, potentiellement y compris la déconnexion physique des appareils pour éliminer la persistance de FIRESTARTER. Les agences fédérales doivent confirmer l'achèvement des vérifications de logiciels malveillants avant une certaine date limite, et fournir un inventaire des appareils **Cisco Firepower** avant le 1er mai. La **CISA** fournira un rapport sur la campagne au Directeur national de la cybersécurité et à d'autres dirigeants de la Maison Blanche avant le 1er août. La **CISA** souligne que les actions initiales décrites dans l'avis de septembre sont insuffisantes pour éliminer complètement le malware ou les attaquants des systèmes compromis. Les agences qui ont déjà appliqué les mises à jour de sécurité doivent toujours effectuer les actions requises mises à jour. Il est conseillé aux organisations de ne pas débrancher les appareils sauf instruction contraire de la **CISA**. La **CISA** a également fourni des conseils sur la manière dont toute organisation peut vérifier les infections par FIRESTARTER. <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>