FIRESTARTER Backdoor: la patch Cisco non rimuove la backdoor già installata su ASA e FTD
La CVE-2025-20333 (CVSS 9.9) e la CVE-2025-20362 (CVSS 6.5) colpiscono Cisco Adaptive Security Appliance (ASA) e Firewall Threat Defense (FTD): la prima consente l'esecuzione di codice arbitrario con privilegi elevati tramite richieste HTTP(S) malformate da parte di un attaccante autenticato con credenziali VPN valide; la seconda permette l'accesso a endpoint riservati senza alcuna autenticazione. Entrambe vengono sfruttate attivamente nell'ambito di una campagna su larga scala attribuita al gruppo UAT-4356, noto anche come ArcaneDoor, attivo almeno dall'inizio del 2024 con motivazioni di cyberespionage.
L'aggiornamento del 24 aprile 2026 dell'alert CSIRT Italia introduce un elemento critico: la backdoor FIRESTARTER, una volta installata, sopravvive alle patch del firmware. Come confermato da Cisco Talos e da un advisory congiunto CISA/NCSC, FIRESTARTER si innesta nel processo LINA di ASA/FTD e si attiva tramite richieste WebVPN contenenti un "magic packet" appositamente costruito, difficile da distinguere dal traffico legittimo. Il meccanismo di persistenza si basa sulla modifica della ROM del dispositivo, che resiste sia ai riavvii sia agli aggiornamenti software. Insieme a FIRESTARTER, il gruppo distribuisce un toolkit post-exploitation denominato LINE VIPER, in grado di eseguire comandi CLI, effettuare packet capture, bypassare l'AAA VPN, sopprimere i messaggi syslog e raccogliere le credenziali digitate dagli amministratori.
La CISA ha emesso una direttiva specifica che impone di identificare eventuali tracce di compromissione e, se rilevate, procedere al reimaging completo dell'appliance. Applicare le patch senza verificare la presenza della backdoor è considerato insufficiente.
Prodotti affetti: Cisco ASA Software, Cisco FTD Software, IOS, IOS XE, IOS XR — solo in specifiche configurazioni indicate nel bollettino vendor.
Azione raccomandata: applicare le patch disponibili; verificare la presenza di indicatori di compromissione riconducibili a FIRESTARTER seguendo il bollettino Cisco; in caso di evidenza di compromissione, procedere obbligatoriamente con il reimaging del dispositivo.
Fonti: ACN, The Hacker News, Bleeping Computer