Firestarter : la porte dérobée qui survit aux correctifs Cisco

Des chercheurs en sécurité ont découvert une porte dérobée inquiétante ciblant les pare-feux Cisco Systems, qui exploite des vulnérabilités non corrigées pour maintenir sa persistance, même après l'application des correctifs. Cela signifie que les attaquants peuvent continuer à accéder aux équipements compromis sans avoir à réexploiter les failles. Les matériels exécutant les logiciels Cisco ASA ou Firepower sont exposés, y compris certains appareils Firepower et Secure Firewall. À ce jour, cependant, l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) n'a constaté qu'un seul cas d'implantation réussie du logiciel malveillant, baptisé Firestarter, dans la nature, sur un appareil Cisco Firepower exécutant le logiciel ASA.  

Dans un avertissement conjoint, la CISA et le Centre national de cybersécurité du Royaume-Uni (National Cyber Security Centre, NCSC) exhortent les organisations à rechercher des signes de compromission. Pour ce faire, elles doivent générer une purge de la mémoire et d’utiliser les règles YARA recommandées pour détecter le malware Firestarter. Les règles YARA peuvent également être appliquées à une image disque. En cas de compromission, les chercheurs expliquent qu’il faut débrancher l'appareil de toutes les sources d'alimentation, y compris l'alimentation de secours, pendant une minute, le rebrancher et le redémarrer. « Il ne suffit pas de mettre l'appareil hors tension ou de le redémarrer », précise l'avis conjoint. « L'appareil doit être entièrement déconnecté de toutes les sources d'alimentation, y compris les sources d'alimentation redondantes mises en place à des fins de sécurité. » L’avis ajoute encore qu’une infection par Firestarter peut également être éliminée en réinstallant le système d'exploitation sur les appareils. Dans un avis distinct, le service de renseignement sur les menaces Talos de Cisco a indiqué qu'un groupe baptisé UAT-4356 est à l'origine de Firestarter, dans le cadre de ses attaques continues contre les appareils Firepower. D'autres chercheurs appellent ce groupe Storm-1849 et identifient la campagne ciblant les appareils réseau de Cisco et d'autres fournisseurs sous le nom d'ArcaneDoor, campagne qui remonte à 2023. 

L’échec du « patcher et oublier »  

La CISA estime que les acteurs malveillants ont compromis les pare-feux Cisco en exploitant les vulnérabilités CVE-2025-20333 et/ou CVE-2025-20362 début septembre dernier, avant la publication des correctifs destinés à combler ces failles. Dans l’exemple analysé par la CISA, le pirate a ensuite déployé le chargeur de shellcode LineViper pour installer un VPN que l’acteur malveillant pouvait utiliser pour accéder à tous les éléments de configuration du dispositif Firepower compromis, y compris les identifiants d’administration, les certificats et les clés privées. Ensuite, la porte dérobée Firestarter a été ajoutée et utilisée pour se connecter à un serveur de commande et de contrôle, si bien que la porte dérobée a pu persister même après l’application des correctifs. Tout cela s’est produit avant que les correctifs pour ces deux vulnérabilités ne soient publiés. Firestarter assure sa persistance en détectant les signaux de terminaison et en se relançant, ce qui lui permet de survivre aux mises à jour du firmware et aux redémarrages de l'appareil, sauf en cas de redémarrage forcé. « Le logiciel malveillant Firestarter met en évidence une faille majeure dans l’approche « patch and forget/patcher et oublier » qui caractérise la sécurité réseau moderne », a déclaré Rob Enderle, analyste IT chez Enderle Group. « Ce qui rend cette attaque particulièrement inhabituelle, c’est sa résilience technique et ses capacités anti-forensiques », a-t-il ajouté. « Le malware enregistre des fonctions de rappel pour les signaux de terminaison tels que SIGTERM ou SIGHUP et peut ainsi se relancer automatiquement si un administrateur tente de tuer le processus. Il s’enfonce profondément dans la mémoire virtuelle du moteur LINA pour s’accrocher à la bibliothèque standard C++, interceptant les requêtes WebVPN afin de déclencher sa charge utile. En utilisant le « time stomping » pour masquer la présence de ses fichiers et en redirigeant les erreurs vers /dev/null, il reste pratiquement invisible pour les outils de détection traditionnels. »  

Rob Enderle valide les recommandations de la CISA et de Cisco selon lesquelles, pour limiter les dégâts, un appareil infecté doit être physiquement déconnecté de toutes les sources d’alimentation, y compris les sources redondantes, pendant au moins une minute. Ce « redémarrage à froid » efface la mémoire volatile où réside le logiciel malveillant et perturbe sa persistance au démarrage. L’analyste suggère aussi aux administrateurs réseau de moderniser les contrôles d’administration en utilisant le protocole TACACS+ (Terminal Access Controller Access-Control System) sur TLS 1.3 pour le contrôle d’accès et l’authentification des utilisateurs aux périphériques réseau tels que les routeurs, les commutateurs et les pare-feux. « Comme TACACS+ utilise généralement un port TCP dédié, il faudra aussi mettre à jour les règles de pare-feu pour en tenir compte. Les matériels Cisco auront probablement besoin du correctif ISE 3.4 (ou version ultérieure) pour garantir que l'Identity Services Engine prenne en charge ce protocole. De même, il convient de consulter les recommandations des autres fournisseurs avant de passer à TACACS+ afin de garantir l'interopérabilité », a ajouté M. Enderle. Les administrateurs doivent également contrôler rigoureusement les comptes hérités, qui, selon lui, constituent souvent la voie la plus facile pour les acteurs malveillants, afin d'empêcher toute propagation latérale. Les appareils Cisco affectés par le malware Firestarter comprennent les pare-feux des séries Firepower 1000, 2100, 4100, 9300, 1200, 3100 et 4200, ainsi que les pare-feux Secure Firewall des séries 1200, 3100 et 4200.