Ameaça Persistente: Backdoor 'Firestarter' Infecta Firewalls Cisco de Agência Federal dos EUA
A segurança de redes, muitas vezes vista como uma fortaleza, foi comprometida de forma alarmante. Uma agência federal dos Estados Unidos descobriu que seus firewalls da Cisco foram infectados por um backdoor persistente, batizado de Firestarter. O mais preocupante é que esse software malicioso consegue se manter ativo mesmo após a aplicação das atualizações de segurança mais recentes nos dispositivos.
Essa descoberta não é um caso isolado, inserindo-se em uma campanha de espionagem digital mais ampla, chamada ArcaneDoor, que tem sido associada a agentes estatais chineses. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) está em alerta máximo, emitindo diretrizes urgentes que impactam diretamente o cenário de segurança cibernética.
A Campanha ArcaneDoor e as Vulnerabilidades da Cisco
A história começou em maio de 2024, quando a Cisco precisou agir rapidamente para corrigir duas vulnerabilidades críticas (zero-day) em sua plataforma Adaptive Security Appliance (ASA). Essas falhas, CVE-2025-20333 e CVE-2025-20362, estavam sendo ativamente exploradas como parte da campanha ArcaneDoor, com foco em servidores web VPN do ASA e no software Secure Firewall Threat Defense (FTD). Um ano depois, a empresa lançou mais correções para falhas relacionadas à mesma campanha, o que demonstra a capacidade contínua dos atacantes.
Em setembro de 2025, a CISA já havia emitido a Diretiva de Emergência 25-03 (ED 25-03), instruindo as agências federais a corrigir imediatamente os dispositivos Cisco em seus ambientes. No entanto, a situação não parou por aí. Em novembro, as orientações foram atualizadas, recomendando ações de mitigação adicionais, o que ressalta a seriedade da ameaça.
A CISA explica: “O Firestarter tenta instalar um gancho — uma forma de interceptar e modificar as operações normais — no Lina, o mecanismo principal do dispositivo para processamento de rede e funções de segurança. Esse gancho permite a execução de código shell arbitrário fornecido pelos agentes APT, incluindo a implantação do Line Viper.”
Firestarter: O Backdoor que Resiste a Patches
A novidade mais recente veio na quinta-feira, com uma nova atualização do ED 25-03. O alerta é grave: simplesmente aplicar os patches não remove o malware implantado. Isso significa que, mesmo após a correção das vulnerabilidades, o backdoor Firestarter mantém sua persistência, concedendo aos cibercriminosos acesso e controle remoto dos dispositivos infectados.
A CISA revelou que pelo menos uma agência federal já foi infectada pelo Firestarter através da exploração de um dispositivo Firepower vulnerável às falhas CVE-2025-20333 e CVE-2025-20362. Esse backdoor foi implantado antes de 25 de setembro de 2025, e a agência é categórica: o firmware atualizado não o remove. Dispositivos comprometidos antes da aplicação das correções permanecem vulneráveis, o que levanta uma questão séria sobre a eficácia de abordagens de segurança puramente reativas.
O Firestarter, que se assemelha em parte ao bootkit RayInitiator, um componente já conhecido da campanha ArcaneDoor, garante sua persistência modificando a lista de montagem do Cisco Service Platform (CSP). Essa estratégia permite que programas maliciosos sejam executados logo na inicialização do sistema, tornando-o extremamente difícil de erradicar sem uma ação mais drástica.
A Urgência da CISA
Diante do cenário, a diretiva da CISA é clara e urgente. As agências federais agora têm a tarefa de enviar arquivos de despejo de memória (memory dump) dos dispositivos suspeitos para o portal Malware Next Gen. Isso permitirá uma verificação forense para confirmar se houve comprometimento. Caso positivo, a notificação à CISA deve ser imediata, e as correções necessárias precisam ser aplicadas.
Os dispositivos afetados incluem as séries Firepower 1000, 2100, 4100 e 9300, e os Secure Firewall das séries 200, 1200, 3100, 4200 e 6100. O prazo apertado para essas ações de segurança reflete a urgência da situação: todas as verificações e atualizações devem ser concluídas até as 23h59 (horário do leste dos EUA) do dia 24 de abril de 2026. Além disso, todos os dispositivos devem ser reinicializados completamente até 30 de abril, conforme a determinação da CISA.
Esta situação destaca a complexidade e a sofisticação das ameaças persistentes avançadas (APTs) que visam a infraestrutura crítica. Não basta apenas corrigir as vulnerabilidades; é preciso investigar a fundo para garantir que não existam resíduos maliciosos que possam comprometer a segurança a longo prazo. A batalha pela integridade dos nossos sistemas é contínua e exige vigilância constante e proatividade sem precedentes.