CISA och brittiska NCSC har utfärdat en gemensam varning om FIRESTARTER, en bakdörr riktad mot Cisco-brandväggar som överlever både firmwareuppdateringar och vanliga omstarter. Skadlig kod har hittats på en amerikansk federal myndighets nätverk och kampanjen spåras tillbaka till åtminstone september 2025.

Patchar räcker inte

Det centrala problemet är att angriparna kan sitta kvar på enheter även efter att organisationer installerat Ciscos säkerhetspatchar från september 2025. Patcharna åtgärdade två sårbarheter (CVE-2025-20333 och CVE-2025-20362) som gruppen UAT-4356 utnyttjade för att ta sig in. Men enheter som redan var kapade innan patchningen kan fortfarande ha bakdörren installerad.

FIRESTARTER överlever omstarter genom att manipulera Ciscos Service Platform-monteringslista, en konfigurationsfil som styr vilka program som körs vid uppstart. När enheten startar om kopierar skadlig kod sig själv till en sekundär plats och skriver om monteringslistan för att återställa sig efter omstart.

En vanlig mjukvaruomstart räcker inte. Bara en hård omstart, där enheten fysiskt kopplas bort från strömmen, kan rensa bakdörren från minnet.

Så fungerar attacken

FIRESTARTER lägger in skadlig kod i LINA, kärnan i Ciscos ASA- och Firepower-programvara. Väl inbäddad fångar bakdörren upp en specifik typ av nätverksförfrågan som normalt används för VPN-autentisering. När en förfrågan med en dold triggsekvens anländer körs angriparnas kod, vilket ger dem fjärråtkomst till enheten.

Koppling till ArcaneDoor

Cisco Talos kopplar FIRESTARTER till hotaktören UAT-4356, samma grupp som låg bakom spionagekampanjen ArcaneDoor 2024 som riktade sig mot nätverksenheter i perimeterförsvaret. FIRESTARTER delar tekniska likheter med en tidigare dokumenterad bakdörr kallad RayInitiator.

I det analyserade fallet installerade angriparna först en separat bakdörr kallad Line Viper för att komma åt enhetskonfigurationer, inloggningsuppgifter och krypteringsnycklar. FIRESTARTER installerades kort därefter.

Vad bör organisationer göra?

CISA har utfärdat ett uppdaterat nöddirektiv som kräver att alla federala civila myndigheter granskar sin Cisco-brandväggsinfrastruktur och skickar in minnesavbildningar för analys. Rekommendationen gäller alla organisationer som använder Cisco ASA eller Firepower:

• Granska enheter som patchades efter september 2025 för tecken på tidigare intrång
• Utför hård omstart (fysisk strömbrytning) på misstänkta enheter
• Avbilda och analysera enhetsminnet
• Övervaka nätverkstrafik efter ovanliga VPN-autentiseringsförfrågningar