FIRESTARTER: Una Backdoor Sotto la Lente delle Autorità Federali Statunitensi Un recente rapporto della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha svelato un'inquietante vulnerabilità riguardante alcuni dispositivi Cisco Firepower utilizzati da enti civili federali. Nel settembre 2025,…
FIRESTARTER: Una Backdoor Sotto la Lente delle Autorità Federali Statunitensi
Un recente rapporto della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha svelato un’inquietante vulnerabilità riguardante alcuni dispositivi Cisco Firepower utilizzati da enti civili federali. Nel settembre 2025, un dispositivo è stato compromesso da un malware conosciuto come FIRESTARTER, un backdoor concepito per garantire accesso remoto e controllo.
La Natura della Minaccia
Secondo CISA e il National Cyber Security Centre (NCSC) del Regno Unito, FIRESTARTER è parte di una campagna orchestrata da un attore di minaccia persistente avanzata (APT). Questo malware sfrutta vulnerabilità già note e successivamente corrette, come CVE-2025-20333 e CVE-2025-20362, per infiltrarsi nei sistemi. La prima di queste consente a un attaccante remoto autentico di eseguire codice arbitrario come root, mentre la seconda permette a un attaccante non autenticato di accedere a determinati endpoint senza autorizzazione. Questa situazione mette in evidenza l’importanza della sicurezza informatica, non solo per le agenzie governative ma anche per le aziende italiane, che utilizzano dispositivi simili per proteggere le proprie reti.
Persistenza della Minaccia
FIRESTARTER si distingue per la sua capacità di persistere all’interno dei dispositivi Cisco anche dopo che sono stati applicati i patch di sicurezza. Questo significa che gli attori malevoli potrebbero continuare ad avere accesso ai dispositivi compromessi, negando così un’efficace protezione. Il malware si insedia nel processo di avvio del dispositivo, utilizzando tecniche avanzate per garantire che si riattivi ogni volta che il sistema viene riavviato. Ciò rappresenta una sfida significativa per le aziende, che potrebbero scoprire di avere delle vulnerabilità irrisolte anche dopo aver eseguito gli aggiornamenti di sicurezza.
I criminali informatici hanno utilizzato un toolkit post-sfruttamento, chiamato LINE VIPER, per eseguire comandi e compiere varie operazioni malevole, come la cattura di pacchetti e la soppressione di messaggi di log. Questa duplice strategia di accesso e infiltrazione rende FIRESTARTER una minaccia altamente sofisticata, che potrebbe avere ripercussioni anche per le aziende italiane che operano su scala internazionale e si aspettano la protezione dei loro sistemi.
Misure di Mitigazione e Raccomandazioni
In risposta a questa minaccia, Cisco ha consigliato di riinizializzare e aggiornare i dispositivi compromessi. I clienti sono stati avvisati che per eliminare completamente FIRESTARTER, è necessario eseguire un ciclo di alimentazione totale del dispositivo, poiché i semplici riavvii non rimuovono il malware. Questa situazione è preoccupante per le aziende italiane, che potrebbero trovarsi a dover affrontare costi e risorse non previste per risolvere questi problemi di sicurezza.
Inoltre, mentre gli enti federali statunitensi e altri partner internazionali stanno intensificando la loro sorveglianza sulla sicurezza informatica, le aziende italiane devono rimanere vigili e proattive nel monitoraggio delle proprie reti, specialmente se utilizzano tecnologie Cisco.
Conclusione
Il caso di FIRESTARTER sottolinea l’importanza cruciale di adottare misure di sicurezza robuste e di effettuare aggiornamenti tempestivi sulle vulnerabilità note. Le aziende di tutti i settori, incluse quelle italiane, devono essere sicure di implementare protocolli di sicurezza rigorosi e collaborare con esperti di cybersecurity per proteggere le proprie infrastrutture. Solo attraverso una vigilanza attiva e una pronta risposta alle minacce informatiche sarà possibile mitigare il rischio di incorrere in attacchi simili, mantenendo la sicurezza dei dati e delle operazioni aziendali.
