## Agência dos EUA Comprometida por Vulnerabilidades em Firewalls Cisco: Malware 'FIRESTARTER' Permite Acesso Persistente A **Agência de Segurança Cibernética e Infraestrutura (CISA)** revelou que o departamento não nomeado foi infectado com o malware “FIRESTARTER”, permitindo que os atacantes retomassem o acesso ao dispositivo **Cisco** em março sem reexplorar as falhas originais. ### Resposta da CISA A **CISA** emitiu um alerta sobre o malware FIRESTARTER e uma diretiva atualizada que obriga ações específicas para agências civis federais detectarem e mitigarem potenciais infecções. Isso segue um aviso inicial em setembro sobre **CVE-2025-2025** e **CVE-2025-20362**, duas vulnerabilidades que afetam **Cisco Adaptive Security Appliances (ASA)**. A **CISA** declarou que as revisões do alerta foram motivadas por inteligência atualizada sobre ameaças cibernéticas, indicando que atores de ameaça estavam mantendo persistência e acesso não autorizado a produtos **Cisco Firepower** e **Secure Firewall** executando software **ASA** ou **Firepower Threat Defense (FTD)**. ### ASA: Um Alvo Principal O **ASA** é amplamente utilizado por governos e grandes empresas porque consolida várias funções de segurança em um único appliance, incluindo firewall, prevenção de intrusão, filtragem de spam e verificações antivírus. A **CISA**, através de seu programa de monitoramento contínuo, detectou conexões suspeitas em um dispositivo **Cisco Firepower** de uma agência FCEB dos EUA executando software **ASA**. Uma investigação forense levou à descoberta do malware FIRESTARTER. ### FIRESTARTER e Malware Line Viper Além do FIRESTARTER, os atacantes implantaram outra cepa de malware chamada Line Viper, que estabeleceu sessões de rede privada virtual (VPN) ilegítimas, contornando as políticas de autenticação de VPN. O FIRESTARTER serviu como um meio para manter o acesso ao dispositivo comprometido, permitindo que os hackers “retomassem o acesso sem reexplorar as vulnerabilidades originais” em março de 2026. Dispositivos comprometidos antes da aplicação dos patches para CVE-2025-2025 e CVE-2025-20362 permanecem vulneráveis devido ao FIRESTARTER. A implantação do FIRESTARTER ocorreu antes de 25 de setembro de 2025, mas a data exata permanece desconhecida. Os atacantes também alavancaram contas federais que não estavam mais ativas dentro da agência. O Line Viper concedeu aos atores de ameaça acesso a tudo no dispositivo Firepower da vítima, incluindo credenciais administrativas, certificados e chaves privadas. ### Atribuição e Colaboração Embora a **CISA** não tenha atribuído publicamente os ataques a um país específico, relatórios sugerem um vínculo potencial com interesses estatais chineses. A **CISA** colaborou com o **National Cyber Security Centre (NCSC) do Reino Unido** nesses alertas. Eles também emitiram conjuntamente outro aviso sobre atores de ameaça ligados ao governo chinês utilizando redes ocultas de dispositivos comprometidos, mencionando especificamente táticas usadas por Volt Typhoon e Flax Typhoon, dois grupos previamente identificados por mirar o governo dos EUA e infraestrutura crítica. ### Avaliação da Cisco Em setembro, a **Cisco** publicou uma análise detalhada de CVE-2025-2025 e CVE-2025-20362, ligando confiantemente a campanha aos mesmos atores por trás da campanha ArcaneDoor descoberta em 2024, que a **Cisco** atribuiu a atores de ameaça patrocinados por estados. ### Ações Necessárias para Agências Federais Os alertas da **CISA** descrevem várias ações obrigatórias para todas as agências civis federais em resposta à campanha em andamento contra dispositivos de firewall **Cisco**. Isso inclui o envio de informações detalhadas sobre seus sistemas. Compromissos confirmados acionarão instruções adicionais da **CISA**, potencialmente incluindo a desconexão física de dispositivos para remover a persistência do FIRESTARTER. As agências federais devem confirmar a conclusão das verificações de malware até um determinado prazo e fornecer um inventário de dispositivos **Cisco Firepower** até 1º de maio. A **CISA** fornecerá um relatório sobre a campanha ao Diretor Nacional Cibernético e outros líderes da Casa Branca até 1º de agosto. A **CISA** enfatiza que as ações iniciais descritas no alerta de setembro são insuficientes para remover completamente o malware ou os atacantes de sistemas comprometidos. Agências que já aplicaram atualizações de segurança ainda devem completar as ações obrigatórias atualizadas. As organizações são advertidas contra o desligamento de dispositivos, a menos que especificamente instruídas a fazê-lo pela **CISA**. A **CISA** também forneceu orientação sobre como qualquer organização pode verificar infecções por FIRESTARTER. <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>