Agências de cibersegurança dos EUA e do Reino Unido estão alertando sobre um malware customizado chamado Firestarter que persiste em dispositivos **Cisco** Firepower e Secure Firewall executando software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD). ### Conexão ArcaneDoor O backdoor foi atribuído a um ator de ameaça que a **Cisco Talos** rastreia internamente como **UAT-4356**, conhecido por campanhas de ciberespionagem, incluindo **ArcaneDoor**. ### Exploração de Vulnerabilidades para Acesso Inicial A U.S. Cybersecurity and Infrastructure Security Agency (**CISA**) e o U.K. National Cyber Security Centre (**NCSC**) acreditam que o adversário obteve acesso inicial explorando uma falha de autorização ausente (**CVE-2025-20333**) e/ou um bug de buffer overflow (**CVE-2025-20362**). ### Implantação de Line Viper e Firestarter Em um incidente em uma agência do ramo executivo civil federal, a **CISA** observou o ator de ameaça implantando primeiro o malware **Line Viper**, um carregador de shellcode em modo de usuário, e depois usando o **Firestarter**, que permite acesso contínuo mesmo após a aplicação de patches. “A **CISA** não confirmou a data exata da exploração inicial, mas avalia que o comprometimento ocorreu no início de setembro de 2025, e antes que a agência implementasse patches de acordo com a ED 25-03”, observa a agência em um alerta. O **Line Viper** é usado para estabelecer sessões de VPN e acessar todos os detalhes de configuração, incluindo credenciais administrativas, certificados e chaves privadas em dispositivos Firepower comprometidos. Em seguida, o binário ELF para o backdoor **Firestarter** é implantado para persistência, permitindo que o ator de ameaça recupere o acesso quando necessário. ### Mecanismos de Persistência Uma vez que o **Firestarter** se instala nos dispositivos, ele mantém a persistência através de reinicializações, atualizações de firmware e patches de segurança. Além disso, o backdoor é reiniciado automaticamente se for encerrado. A persistência é alcançada conectando-se ao LINA, o processo principal do **Cisco ASA**, e usando manipuladores de sinal que acionam rotinas de reinstalação. Um relatório conjunto de análise de malware das duas agências de cibersegurança explica que o **Firestarter** modifica o arquivo de boot/montagem CSP_MOUNT_LIST para garantir a execução na inicialização, armazena uma cópia de si mesmo em /opt/cisco/platform/logs/var/log/svc_samcore.log e a restaura para /usr/bin/lina_cs, onde é executado em segundo plano. A **Cisco Talos** também publicou sua análise do malware, afirmando que o mecanismo de persistência é acionado quando um sinal de término de processo é recebido, também conhecido como reinicialização graciosa. Os pesquisadores observaram no relatório do Firestarter que o backdoor usou os comandos abaixo para definir a persistência para si mesmo:  ### Funcionalidade do Backdoor A função principal do implante é atuar como um backdoor para acesso remoto, enquanto também pode executar shellcode fornecido pelo atacante. Isso é feito através de um mecanismo em que o **Firestarter** se conecta ao LINA modificando um manipulador XML e injetando shellcode na memória, criando um caminho de execução controlado. Este shellcode é acionado por uma requisição WebVPN especialmente elaborada que, após validar um identificador codificado, carrega e executa payloads fornecidos pelo atacante diretamente na memória. No entanto, a **CISA** não forneceu detalhes sobre os payloads específicos observados em ataques. ### Recomendações da Cisco A **Cisco** publicou um aviso de segurança sobre o **Firestarter** que contém mitigações e soluções alternativas para remover o mecanismo de persistência, bem como indicadores de comprometimento para descobrir o implante **Firestarter**. O fornecedor “recomenda fortemente a reimagem e atualização do dispositivo usando as versões corrigidas”, que cobrem casos comprometidos e não comprometidos. Para determinar um comprometimento, os administradores devem executar o comando ‘show kernel process | include lina_cs’. Para qualquer resultado obtido, o dispositivo deve ser considerado comprometido. Se a reimagem do dispositivo não for possível no momento, a **Cisco** afirma que uma reinicialização a frio (desconectando a energia do dispositivo) remove o malware. No entanto, essa alternativa não é recomendada, pois acarreta o risco de corrupção do banco de dados ou disco, levando a problemas de inicialização. A **CISA** também compartilhou duas regras YARA que podem detectar o backdoor **Firestarter** quando aplicadas a uma imagem de disco ou a um dump de memória de um dispositivo.