Cyberattaque : des pirates exploitent une porte dérobée persistante sur les pare-feux Cisco

Une menace persistante sur les équipements Cisco

Un groupe de cyberespions soutenu par un État a implanté une porte dérobée personnalisée sur des pare-feux Cisco, capable de résister aux mises à jour logicielles et aux redémarrages standards. Cette découverte, révélée par les autorités américaines et britanniques, marque une escalade dans une campagne ciblant les réseaux gouvernementaux et les infrastructures critiques depuis fin 2025.

Le Cybersecurity and Infrastructure Security Agency (CISA) et le National Cyber Security Centre (NCSC) du Royaume-Uni ont publié un rapport d'analyse de malware identifiant cette porte dérobée, surnommée Firestarter. Cisco Talos, la division renseignement de Cisco, attribue cette malware à un acteur menaçant suivi sous le nom de UAT-4356.

Une campagne liée à l'espionnage

Ce même groupe avait été associé en 2024 à une campagne d'espionnage nommée ArcaneDoor, visant à compromettre les équipements de périmètre réseau. CISA a confirmé avoir découvert Firestarter sur un pare-feu Cisco Firepower d'une agence civile fédérale américaine, après avoir identifié des connexions suspectes via une surveillance réseau continue.

Cette découverte a conduit à la publication d'une directive d'urgence mise à jour jeudi, exigeant que toutes les agences civiles fédérales auditent leurs infrastructures de pare-feux Cisco et soumettent des captures mémoire des appareils pour analyse d'ici vendredi.

Une persistance malgré les correctifs

Le principal problème réside dans la capacité des attaquants à maintenir leur présence sur les appareils compromis, même après l'application des correctifs de sécurité publiés par Cisco en septembre 2025. Ces correctifs concernaient deux vulnérabilités exploitées par UAT-4356 pour s'introduire initialement :

• CVE-2025-20333 : une faille d'exécution de code à distance dans le composant VPN web server.
• CVE-2025-20362 : une vulnérabilité d'accès non autorisé.

Selon CISA, les appareils compromis avant l'application des correctifs peuvent toujours héberger l'implant Firestarter.

Mécanisme de persistance

Firestarter permet aux attaquants de s'installer durablement en manipulant la liste de montage de la plateforme Cisco Service Platform, un fichier de configuration qui détermine quels programmes s'exécutent lors du démarrage de l'appareil. Lorsque l'appareil reçoit un signal de terminaison ou redémarre, le malware se copie vers un emplacement secondaire et réécrit la liste de montage pour se relancer automatiquement après le retour en ligne du système.

Un redémarrage logiciel standard ne suffit pas à supprimer l'implant. Seule une réinitialisation matérielle — en débranchant physiquement l'appareil de son alimentation — permet d'effacer le mécanisme de persistance de la mémoire, selon CISA et Cisco.

Ensuite, le malware injecte un shellcode malveillant dans LINA, le noyau réseau et de pare-feu des logiciels Adaptive Security Appliance et Firepower Threat Defense de Cisco. Une fois intégré, il intercepte les requêtes réseau normalement utilisées pour l'authentification VPN. Lorsqu'une requête contient une séquence cachée, elle exécute le code fourni par les attaquants, leur offrant un accès furtif à l'appareil.

Liens avec d'autres outils malveillants

Cisco Talos a noté que Firestarter partage des similitudes techniques avec un autre implant nommé RayInitiator, suggérant une origine ou un historique de développement commun au sein de l'arsenal d'UAT-4356.

Dans l'incident analysé par CISA, les attaquants avaient d'abord déployé un autre implant, Line Viper, pour accéder aux configurations, identifiants et clés de chiffrement des appareils. Firestarter a été installé peu après, avant l'application des correctifs de septembre 2025. Une fois les systèmes corrigés, Firestarter est resté actif et a permis aux attaquants de réinfecter les appareils.