Las autoridades de EE. UU. y el Reino Unido han emitido advertencias sobre el malware de puerta trasera utilizado contra dispositivos Cisco vulnerables que pueden mantener la persistencia a pesar de estar parcheados.
El malware de puerta trasera, denominado Firestarter, fue descubierto durante una investigación forense en una agencia del poder ejecutivo civil federal durante una investigación forense, según la Agencia de Seguridad de Infraestructura y Ciberseguridad.
CISA emitió una directiva de emergencia en septiembre de 2025 para que las agencias federales tomaran medidas inmediatas para mitigar los ataques, que estaban vinculados a la actividad ArcaneDoor identificada inicialmente a principios de 2024.
La campaña estaba vinculada a un actor de amenazas rastreado como UAT-4356, según un Publicación del blog del jueves de Cisco Talos.
Los ataques se dirigieron a los productos Cisco Firepower y Secure Firewall que utilizaban el software Adaptive Security Appliance o Firepower Threat Defense, advirtió CISA en un aviso publicado el jueves.
Los piratas informáticos aprovecharon dos vulnerabilidades críticas: CVE-2025-20333 y CVE-2025-20362.
CISA dijo que encontró conexiones sospechosas en un dispositivo Firepower que ejecutaba el software Adaptive Security Appliance en la agencia federal. La investigación descubrió que los piratas informáticos implementaron un implante llamado Line Viper y utilizaron el malware Firestarter para mantener la persistencia en el dispositivo.
Cisco publicó un boletín de seguridad el jueves con Orientación sobre cómo mitigar la amenaza. y emitió una actualización el viernes.
CISA ha emitido una nueva guía para que todas las agencias de la FCEB verifiquen posibles compromisos y tomen medidas de mitigación adicionales.
Fuente