Agências de cibersegurança dos EUA e do Reino Unido emitiram um alerta sobre um malware personalizado chamado Firestarter, que persiste em dispositivos Cisco Firepower e Secure Firewall que utilizam o software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD). O malware, atribuído a um ator de ameaças conhecido como UAT-4356, é utilizado em campanhas de ciberespionagem e permite acesso remoto contínuo mesmo após a aplicação de patches. A vulnerabilidade inicial explorada foi identificada como CVE-2025-20333, relacionada a uma falha de autorização, e CVE-2025-20362, um bug de estouro de buffer.
O CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) observou que, em um incidente específico, o ator de ameaças implantou primeiro o malware Line Viper, que estabelece sessões VPN e acessa credenciais administrativas. Em seguida, o Firestarter foi utilizado para garantir acesso contínuo. O malware mantém sua persistência através de modificações no processo LINA da Cisco, reiniciando automaticamente após ser encerrado. O CISA recomenda que os administradores verifiquem a presença do malware e realizem a reimagem dos dispositivos afetados, além de compartilhar regras YARA para detecção. A Cisco também publicou um aviso de segurança com orientações para mitigação e remoção do malware.
Fonte: https://www.bleepingcomputer.com/news/security/firestarter-malware-survives-cisco-firewall-updates-security-patches/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
24/04/2026 • Risco: CRITICO
MALWARE
Agências de Cibersegurança Alertam sobre Malware Firestarter em Dispositivos Cisco
RESUMO EXECUTIVO
O malware Firestarter representa uma ameaça significativa para dispositivos Cisco, com a capacidade de manter acesso não autorizado mesmo após a aplicação de patches. A exploração de falhas conhecidas e a persistência do malware exigem ações imediatas para proteger a infraestrutura de TI e garantir a conformidade regulatória.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a incidentes de segurança e recuperação de dados.
Operacional
Acesso remoto não autorizado e comprometimento de credenciais administrativas.
Setores vulneráveis
['Setores de tecnologia, finanças e governo']
📊 INDICADORES CHAVE
CVE-2025-20333 e CVE-2025-20362 identificadas como vetores de ataque.
Indicador
Malware Firestarter permite acesso contínuo após aplicação de patches.
Contexto BR
CISA recomenda reimagens de dispositivos afetados.
Urgência
⚡ AÇÕES IMEDIATAS
1
Executar o comando 'show kernel process
2
include lina_cs' para verificar a presença do malware.
3
Reimagem dos dispositivos afetados com versões corrigidas do software.
4
Monitorar continuamente logs e atividades em dispositivos Cisco para detectar comportamentos anômalos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dispositivos críticos que podem ser alvos de ataques, comprometendo a integridade e a confidencialidade dos dados.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
