Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale

CISA aggiorna l'Emergency Directive 25-03 dopo il ritrovamento del malware FIRESTARTER su dispositivi Cisco. Violazione persistita da settembre 2025 a marzo 20…

Contenuto

Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale

Scopri anche

Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale Un'agenzia governativa USA è stata violata a settembre 2025 sfruttando vulnerabilità in firewall Cisco. La CISA ha pubblicato l'advisory aggiornato e la direttiva V1 il 23 aprile 2026. Cisco aveva precedentemente divulgato 6 flaw critici il 25 febbraio 2026, di cui 4 sono stati confermati come sfruttati. L'Emergency Directive originale 25-03 era stato emesso il 25 settembre 2025.

Aggiornamento KEV e dettagli sulle vulnerabilità

Il 20 aprile 2026, la CISA ha aggiunto 3 vulnerabilità Cisco specifiche (CVE-2026-20122, CVE-2026-20128, CVE-2026-20133) al catalogo Known Exploited Vulnerabilities (KEV). L'indagine forense ha rivelato che il malware FIRESTARTER era stato deployato su un dispositivo Cisco Firepower prima del 25 settembre 2025. Gli hacker hanno utilizzato questo malware per riguadagnare l'accesso al dispositivo a marzo 2026, senza dover ri-sfruttare le vulnerabilità originali, dimostrando una persistenza attiva nonostante le patch di sicurezza.

Meccanismi d'attacco: FIRESTARTER e Line Viper

Oltre a FIRESTARTER, l'indagine ha scoperto un secondo malware denominato 'Line Viper', progettato per creare sessioni VPN illegittime bypassando tutte le politiche di autenticazione VPN. Attraverso Line Viper, gli attaccanti hanno potuto accedere a credenziali amministrative, certificati e chiavi private. L'accesso è stato facilitato dall'uso di account federali 'esistenti ma non più attivi'. Cisco ha collegato la campagna ad ArcaneDoor, una minaccia scoperta nel 2024.

Direttive e scadenze per le agenzie federali

La CISA ha stabilito che le agenzie devono confermare i controlli malware entro venerdì a mezzanotte e completare l'inventario dei dispositivi entro il 1° maggio 2026. L'advisory raccomanda specificamente di non scollegare il dispositivo a meno che non sia diretto dalla CISA, per preservare le prove forensi. Un rapporto completo sulla campagna sarà fornito al National Cyber Director entro il 1° agosto 2026.

Domande frequenti

Cos'è la backdoor FIRESTARTER?
FIRESTARTER è un malware individuato dalla CISA su dispositivi Cisco Firepower che permette agli aggressori di mantenere l'accesso persistente anche dopo l'applicazione delle patch di sicurezza.
Quali vulnerabilità Cisco sono state aggiunte al catalogo KEV?
La CISA ha aggiunto le vulnerabilità CVE-2026-20122, CVE-2026-20128 e CVE-2026-20133 al catalogo Known Exploited Vulnerabilities il 20 aprile 2026.
Come hanno fatto gli hacker a rientrare a marzo 2026?
Gli hacker hanno utilizzato FIRESTARTER per riguadagnare l'accesso senza dover ri-sfruttare le vulnerabilità originali del firewall, approfittando di meccanismi di persistenza installati precedentemente.
Quali sono le scadenze della nuova direttiva CISA?
Le agenzie devono confermare i controlli malware entro venerdì, completare l'inventario dispositivi entro il 1° maggio 2026 e CISA consegnerà il rapporto al National Cyber Director entro il 1° agosto 2026.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Per approfondire

Fonti

Link utili

Apri l'articolo su DeafNews