Backdoor Firestarter Infecta Firewall Cisco em Agência Federal dos EUA
Um backdoor persistente, chamado Firestarter, foi descoberto em firewalls Cisco de uma agência federal dos EUA, explorando vulnerabilidades para manter acesso remoto. A ameaça, atribuída ao grupo ArcaneDoor, sobrevive a atualizações e reinicializações, exigindo uma reinstalação completa do firmware para remoção.
MundiX News·11 de maio de 2026·3 min de leitura·👁 6 views
As agências de segurança dos EUA e do Reino Unido emitiram um alerta sobre o malware Firestarter, que se instala em dispositivos Cisco Firepower e Secure Firewall com software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD) e não é removido mesmo após a instalação de patches ou atualização do firmware.
O backdoor Firestarter está associado ao grupo de hackers UAT-4356, que especialistas da Cisco Talos rastreiam sob o nome ArcaneDoor. De acordo com a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), os invasores exploraram duas vulnerabilidades para a infiltração inicial: um problema de ausência de autorização (CVE-2025-20333) e um buffer overflow (CVE-2025-20362).
Foi relatado que pelo menos uma agência federal não identificada nos EUA foi comprometida com o Firestarter. Especialistas da CISA acreditam que a invasão ocorreu no início de setembro de 2025, quando a agência afetada ainda não havia instalado patches para os bugs mencionados acima. Os invasores primeiro entregaram o malware Line Viper ao dispositivo, um shellcode loader para o espaço do usuário, que permitia iniciar sessões VPN e obter acesso à configuração, incluindo credenciais administrativas, certificados e chaves privadas. Em seguida, o próprio Firestarter foi implantado no dispositivo como um binário ELF, fornecendo acesso remoto persistente.
A principal característica do Firestarter, de acordo com pesquisadores, é sua resiliência. O malware persiste no sistema mesmo após reinicializações, atualizações de firmware e instalação de patches, e se o processo terminar, ele reinicia automaticamente. Para se manter nos dispositivos, o backdoor intercepta chamadas LINA (um processo-chave do Cisco ASA) e usa manipuladores de sinais que reiniciam a reinstalação ao receber um sinal de término. O Firestarter modifica o arquivo de inicialização CSP_MOUNT_LIST para ser executado na inicialização do sistema, armazena sua cópia em /opt/cisco/platform/logs/var/log/svc_samcore.log e, se necessário, restaura-o em /usr/bin/lina_cs, onde opera em segundo plano.
A principal função do backdoor é fornecer acesso remoto com a capacidade de executar shellcode arbitrário para seus operadores. O Firestarter modifica o manipulador XML em LINA e injeta shellcode na memória. O gatilho é uma solicitação WebVPN especialmente formada: após a validação de um identificador de código fixo, o malware carrega e executa a payload diretamente na memória.
A Cisco publicou recomendações para eliminar a ameaça e recomenda fortemente a reinstalação completa do firmware (reimage) e a instalação de atualizações no dispositivo. Para verificar se há sinais de comprometimento no dispositivo, você pode usar o comando show kernel process | include lina_cs - qualquer saída indica infecção. Por sua vez, representantes da CISA já publicaram duas regras YARA para detectar o backdoor em imagens de disco e dumps de memória. Se a reinstalação não for possível, uma reinicialização a frio (com desconexão física da energia) também ajudará a remover o malware, mas esse método é repleto de danos ao banco de dados e problemas de inicialização.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
As agências de segurança dos EUA e do Reino Unido emitiram um alerta sobre o malware Firestarter, que se instala em dispositivos Cisco Firepower e Secure Firewall com software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD) e não é removido mesmo após a instalação de patches ou atualização do firmware.
O backdoor Firestarter está associado ao grupo de hackers UAT-4356, que especialistas da Cisco Talos rastreiam sob o nome ArcaneDoor. De acordo com a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), os invasores exploraram duas vulnerabilidades para a infiltração inicial: um problema de ausência de autorização (CVE-2025-20333) e um buffer overflow (CVE-2025-20362).
Foi relatado que pelo menos uma agência federal não identificada nos EUA foi comprometida com o Firestarter. Especialistas da CISA acreditam que a invasão ocorreu no início de setembro de 2025, quando a agência afetada ainda não havia instalado patches para os bugs mencionados acima. Os invasores primeiro entregaram o malware Line Viper ao dispositivo, um shellcode loader para o espaço do usuário, que permitia iniciar sessões VPN e obter acesso à configuração, incluindo credenciais administrativas, certificados e chaves privadas. Em seguida, o próprio Firestarter foi implantado no dispositivo como um binário ELF, fornecendo acesso remoto persistente.
A principal característica do Firestarter, de acordo com pesquisadores, é sua resiliência. O malware persiste no sistema mesmo após reinicializações, atualizações de firmware e instalação de patches, e se o processo terminar, ele reinicia automaticamente. Para se manter nos dispositivos, o backdoor intercepta chamadas LINA (um processo-chave do Cisco ASA) e usa manipuladores de sinais que reiniciam a reinstalação ao receber um sinal de término. O Firestarter modifica o arquivo de inicialização CSP_MOUNT_LIST para ser executado na inicialização do sistema, armazena sua cópia em /opt/cisco/platform/logs/var/log/svc_samcore.log e, se necessário, restaura-o em /usr/bin/lina_cs, onde opera em segundo plano.
A principal função do backdoor é fornecer acesso remoto com a capacidade de executar shellcode arbitrário para seus operadores. O Firestarter modifica o manipulador XML em LINA e injeta shellcode na memória. O gatilho é uma solicitação WebVPN especialmente formada: após a validação de um identificador de código fixo, o malware carrega e executa a payload diretamente na memória.
A Cisco publicou recomendações para eliminar a ameaça e recomenda fortemente a reinstalação completa do firmware (reimage) e a instalação de atualizações no dispositivo. Para verificar se há sinais de comprometimento no dispositivo, você pode usar o comando show kernel process | include lina_cs - qualquer saída indica infecção. Por sua vez, representantes da CISA já publicaram duas regras YARA para detectar o backdoor em imagens de disco e dumps de memória. Se a reinstalação não for possível, uma reinicialização a frio (com desconexão física da energia) também ajudará a remover o malware, mas esse método é repleto de danos ao banco de dados e problemas de inicialização.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
