Si chiama Firestarter, è annidato dentro i firewall Cisco e non se ne va nemmeno dopo le patch di sicurezza. CISA (l’agenzia americana per la cybersicurezza) e il NCSC britannico hanno emesso un avviso congiunto nelle ultime ore: il malware è attivo almeno da settembre 2025 e ha già colpito un’agenzia federale statunitense.
Cosa fa Firestarter e perché è difficile da eliminare
Firestarter è un backdoor che si installa sui dispositivi Cisco Firepower e Secure Firewall con software ASA (Adaptive Security Appliance) o FTD (Firepower Threat Defense). Il suo scopo è garantire accesso remoto persistente all’attaccante, anche dopo che il firewall viene aggiornato, riavviato o patchato.
La cosa che mi preoccupa di più di questo malware non è l’exploit iniziale, ma il meccanismo di sopravvivenza: Firestarter si aggancia a LINA, il processo core di Cisco ASA, e installa handler di segnale che rilanciano il backdoor automaticamente se viene terminato. Si copia in /opt/cisco/platform/logs/var/log/svc_samcore.log e si ripristina in /usr/bin/lina_cs a ogni avvio, modificando il file di boot CSP_MOUNT_LIST per garantirsi l’esecuzione.
⚠️ Attenzione: Firestarter sopravvive a firmware update, patch di sicurezza e riavvii. Un firewall apparentemente aggiornato può essere ancora compromesso.
Come è entrato: le vulnerabilità sfruttate e la catena di attacco
Secondo l’analisi pubblicata da BleepingComputer, l’accesso iniziale è avvenuto sfruttando due vulnerabilità: CVE-2025-20333 (un problema di autorizzazione mancante) e/o CVE-2025-20362 (un buffer overflow). CISA valuta che la compromissione sia avvenuta all’inizio di settembre 2025, prima che l’agenzia colpita implementasse le patch previste dalla direttiva ED 25-03.
La catena è precisa: prima viene deployato Line Viper, uno shellcode loader in user-mode che stabilisce sessioni VPN e ruba credenziali amministrative, certificati e chiavi private dai dispositivi Firepower. Poi arriva Firestarter, che si occupa della persistenza a lungo termine.
L’attore dietro l’attacco è tracciato da Cisco Talos come UAT-4356, già noto per la campagna di cyberespionaggio ArcaneDoor.
Il problema più grande: i firewall come punto cieco della sicurezza
💡 L’analisi: Firestarter dimostra che i perimeter device come i firewall sono diventati il bersaglio preferito degli attori APT proprio perché vengono monitorati meno degli endpoint. Finché le organizzazioni non trattano i firewall con lo stesso livello di scrutinio che applicano ai server, questo tipo di impianto persistente continuerà a funzionare indisturbato per mesi.
Il vettore dei dispositivi di rete perimetrali è esattamente quello che le campagne di spionaggio statale stanno preferendo negli ultimi anni, e ArcaneDoor ne era già la prova nel 2024. Non è un caso: i firewall sono spesso considerati “sicuri per definizione” e raramente sottoposti a ispezione approfondita del traffico interno.
Se gestisci infrastrutture aziendali o sei un amministratore di rete, il consiglio operativo è controllare immediatamente la presenza di Line Viper e Firestarter usando gli indicatori di compromissione pubblicati da CISA e Cisco Talos, e verificare l’integrità dei file di sistema nei percorsi citati. Puoi approfondire l’argomento nella nostra sezione Sicurezza e Privacy Online: Antivirus, Malware e VPN.
Per capire quanto sia sofisticata la tecnica di furto credenziali di questo tipo, vale la pena leggere anche come funziona SparkCat malware crypto: come ruba la seed phrase, un caso diverso ma che mostra lo stesso livello di ingegneria malevola.
Questa storia mi ricorda perché lavoro ogni giorno con il principio “never trust, always verify”: assumere che il perimetro sia sicuro perché c’è un firewall aggiornato è esattamente il tipo di fiducia che UAT-4356 ha sfruttato per restare nascosto per mesi.
, Giorgio
Stay tech 🦾
