CSIRT Toscana FIRESTARTER Backdoor: rilevato lo sfruttamento in rete di due vulnerabilità Cisco (AL01/250926/CSIRT-ITA)
Data:
24 Aprile 2026
Impatto Sistemico
Critico (79.35)
Sintesi
Dopo gli avvisi di sicurezza diffusi di recente e trattati nell’ambito dell’alert AL01/250925/CSIRT-ITA , Cisco ha pubblicato ulteriori 4 vulnerabilità di sicurezza, di cui una con gravità “critica” e due zero-day sfruttate attivamente in rete.
Nel dettaglio, le zero-day consentirebbero l’esecuzione di codice arbitrario e l’accesso a informazioni sensibili su prodotti Adaptive Security Appliance (ASA) e Firewall Threat Defense (FTD) vulnerabili.
Tipologia
- Privilege Escalation
- Remote Code Execution
Descrizione e potenziali impatti
Nel dettaglio, la prima vulnerabilità di tipo zero-day – identificata tramite la CVE-2025-20333 e con score CVSS v3.1 pari a 9.9 – è causata da una errata validazione dei parametri di input forniti dall’utente nelle richieste HTTP(S). Un attaccante, in possesso di credenziali VPN valide, può sfruttare tale vulnerabilità inviando richieste HTTP opportunamente predisposte, consentendo l’esecuzione di codice arbitrario con privilegi elevati.
La seconda vulnerabilità di tipo zero-day – identificata tramite la CVE-2025-20362 e con score CVSS v3.1 pari a 6.5 – è anch’essa dovuta da un’errata validazione dei parametri di input nelle richieste HTTP(S). Un attaccante potrebbe sfruttare questa vulnerabilità inviando richieste HTTP opportunamente predisposte a un server web su un dispositivo vulnerabile, ottenendo l’accesso a URL riservati senza autenticazione.
Si evidenzia inoltre che il vendor ha segnalato come attori malevoli stiano già sfruttando le vulnerabilità descritte, riuscendo a modificare la ROM in modo da garantire la persistenza di accesso al dispositivo anche a seguito di riavvii o aggiornamenti di sistema. Cisco ha confermato che tali attività fanno parte di una campagna, su larga scala, attribuita al gruppo ArcaneDoor, attiva almeno dall’inizio del 2024.
Aggiornamento del 24/04/2026
In particolare, secondo quanto riportato dal CISA , sarebbe stata osservata una backdoor custom, denominata FIRESTARTER, potenzialmente in grado di interagire con componenti centrali del sistema ASA/FTD e consentire l’esecuzione di codice controllato dall’attore. Il meccanismo di attivazione sembrerebbe basarsi su richieste appositamente costruite, difficili da distinguere dal traffico legittimo, riducendo così gli elementi visibili a livello di rete.
Prodotti e/o versioni affette
Cisco
- Secure Firewall Adaptive Security Appliance (ASA) Software
- Secure Firewall Threat Defense (FTD) Software
- IOS Software
- IOS XE Software
- IOS XR Software
N.B. Si evidenzia che i prodotti elencati risultano vulnerabili solo in specifiche circostanze indicate nei relativi bollettini di sicurezza.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di applicare le azioni di mitigazioni seguendo le indicazioni dei bollettini di sicurezza disponibili ai link nella sezione Riferimenti.
Inoltre si raccomanda di seguire le seguenti misure:
- Per dispositivi ASA hardware con supporto terminato al 30 settembre 2025 o prima: devono essere disconnessi entro quella data. Se non è possibile disconnetterli, devono comunque applicarsi gli ultimi aggiornamenti Cisco disponibili, e va pianificata la dismissione.
- Per modelli hardware ASA con data di fine supporto previsto il 31 agosto 2026: applicare gli ultimi aggiornamenti entro il 26 settembre 2025 e mantenersi aggiornati entro 48 ore da qualsiasi nuova release.
- Per ASAv e Firepower FTD: applicare le patch più aggiornate entro il 26 settembre 2025, e ogni aggiornamento entro 48 ore dal rilascio da Cisco.
Aggiornamento del 24/04/2026
Secondo gli ultimi rilevamenti, risulterebbe che l’adozione delle corretive fornite dal vendor non sia sufficiente, di per sé, a rimuovere un’eventuale backdoor già presente sul dispositivo. Si raccomanda pertanto di attenersi alle indicazioni di Cisco per l’identificazione di possibili tracce riconducibili all’attaccante e, in presenza di evidenze di compromissione, di procedere con il reimaging dell’appliance, come raccomandato nel bollettino di sicurezza del vendor disponibile nella sezione Riferimenti.
Di seguito sono riportate le sole CVE relative alle vulnerabilità sfruttate attivamente in rete e con gravità “critica”:
Riferimenti
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-CISAED25-03?vs_f=Cisco
- https://www.cisa.gov/news-events/directives/v1-ed-25-03-identify-and-mitigate-potential-compromise-cisco-devices
CVE
| CVE-ID | ||
|---|---|---|
| CVE-2025-20362 | CVE-2025-20333 | CVE-2025-20363 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 26-09-2025 | 26/09/2025 |
| 1.1 | Aggiornato alert con dettagli sulla possibile persistenza della backdoor FIRESTATER. | 24/04/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
24 Aprile 2026, 12:16