Az amerikai CISA és a brit NCSC olyan, Firestarter néven azonosított egyedi backdoorra figyelmeztetett, amely Cisco Firepower és Secure Firewall eszközökön, ASA vagy FTD szoftverkörnyezetben képes tartós hozzáférést biztosítani a támadónak. A kampányt az UAT-4356 néven követett szereplőhöz kötik, amely korábban az ArcaneDoor műveletek kapcsán vált ismertté.

A jelenlegi elemzések szerint a támadók a CVE-2025-20333 és CVE-2025-20362 azonosítójú sebezhetőségeket használták ki a kezdeti hozzáférés megszerzésére. Először a Line Viper nevű komponenst telepítették, majd ezt követte a Firestarter, amely a támadói hozzáférés tartós fenntartását szolgálta. A Line Viper lehetővé tette jogosulatlan VPN munkamenetek létrehozását, valamint konfigurációs adatok, adminisztratív hitelesítési adatok, tanúsítványok és privát kulcsok elérését. A fertőzött eszközön a patch telepítése önmagában nem feltétlenül szünteti meg a támadói jelenlétet, mert az rosszindulatú komponens képes újra aktiválni magát anélkül, hogy a támadónak ismét ki kellene használnia az eredeti sérülékenységeket.

A kártevő a Cisco Service Platform mount listájának, a CSP_MOUNT_LIST állománynak a manipulálásával éri el, hogy a rendszerindítási folyamat részeként újra lefusson. Biztonsági másolatként a /opt/cisco/platform/logs/var/log/svc_samcore[.]log útvonalon tárolhatja magát, majd visszaírhatja magát a /usr/bin/lina_cs helyre. A működés különösen kifinomult eleme, hogy az rosszindulatú komponens képes eltüntetni a perzisztenciához használt nyomok egy részét. A backdoor aktiválása WebVPN kéréseken keresztül történhet. A Firestarter egy legitim XML kezelő függvény mutatóját cseréli le egy rosszindulatú kezelőre, majd speciális mintákat keres a beérkező WebVPN XML adatokban. Ha a kérés megfelel a támadó által elvárt formátumnak, a memóriában futtatja a hozzá kapcsolt shellcode-ot.

Az érintettség különösen azoknál a szervezeteknél lehet kritikus, amelyek Cisco Firepower 1000, 2100, 4100 vagy 9300 sorozatú, illetve Secure Firewall 1200, 3100 vagy 4200 sorozatú eszközöket használnak ASA vagy FTD szoftverrel. A Firestarter olyan aktív fenyegetésként maradhat jelen az érintett Cisco eszközökön, amely a javítások után is lehetővé teszi a támadó visszatérését, ezért az érintett szervezeteknek nem elegendő pusztán a szoftverfrissítések telepítésére hagyatkozniuk.

A védekezés első lépése az érintett eszközök célzott ellenőrzése. Gyanús lehet bármilyen találat a show kernel process | include lina_cs parancs futtatásakor, valamint a /usr/bin/lina_cs vagy a /opt/cisco/platform/logs/var/log/svc_samcore[.]log állomány jelenléte. A kompromittált eszköznél a patch nem tekinthető teljes körű incidenslezárásnak. A Cisco ajánlása szerint a fertőzött vagy potenciálisan érintett eszközök esetében az újraimage-elés és a javított szoftververzióra frissítés a preferált eljárás. Az eszköz fizikai áramtalanítása bizonyos esetekben eltávolíthatja az rosszindulatú komponenst, de ez nem elsődleges és nem kockázatmentes megoldás.

A CISA YARA szabályokat is közzétett a Firestarter felismerésére, amelyeket lemezkép vagy core dump elemzése során lehet alkalmazni.